Introducción
Desde que publicamos la segunda edición el papel de la guía en 2017, hay información nueva sobre las tecnologías de espionaje digital, las herramientas que recomendamos o las leyes a las que nos enfrentamos.
Empecemos con un viaje al lado oscuro de las novedades digitales.
«Los datos determinan todo lo que hacemos»1: este es el cínico eslogan de Cambridge Analytica. La empresa protagonizó un escándalo que puso de manifiesto el poder de las grandes empresas de Internet sobre la sociedad: extrajo los datos personales de decenas de millones de cuentas de Facebook con el consentimiento de la plataforma para un supuesto «estudio científico». A continuación, vendió sus servicios de manipulación psicológica selectiva, que se utilizaron para influir en la campaña presidencial nigeriana de 20152 , en las elecciones presidenciales estadounidenses de 2016 y en la votación del Brexit3. El escándalo saltó a los medios de comunicación en 2018 gracias a las revelaciones de un antiguo empleado.
Con el Covid-19, se han tomado nuevas medidas en relación con el abuso digital. «En la era Covid-19, la conectividad no es una mercancía, sino una necesidad. Prácticamente todas las actividades humanas –comercio, educación, salud, política, socialización– parecen haberse trasladado a Internet. […] Los Estados y los actores no estatales de todos los países están aprovechando las oportunidades creadas por la pandemia para dar forma a nuevas narrativas en línea, censurar el discurso crítico y construir nuevos sistemas tecnológicos de control social.”4 Esta es la conclusión de la organización de defensa de la libertad digital Freedom House.
Por ejemplo, la tarjeta sanitaria francesa es un código de barras bidimensional firmado digitalmente que contiene el nombre y el estado de salud de la persona, así como información sobre la vacuna recibida y las fechas de las últimas inyecciones. Esta información no sólo es legible en texto plano, sino que permite «deducir información sanitaria aún más privada sobre cada ciudadano»5. Más allá de estas críticas al funcionamiento de la tarjeta sanitaria, su adopción masiva está acostumbrando a la población a someterse a un control generalizado a través de herramientas digitales6.
Célia Izoard denuncia «la digitalización completa de la sociedad bajo la máscara del Covid»7, que «continúa, embruteciendo a diario a los anticuados y a los refractarios»8. Para ella, la pregunta a la que responden las políticas sanitarias es con demasiada frecuencia «¿cómo puede utilizar Francia la pandemia para consolidar su liderazgo tecnológico y económico en la escena internacional? Un informe del Senado francés afirma que «las perspectivas que abre el uso de las tecnologías digitales son inmensas, y la crisis del Covid-19 sólo ha ofrecido un anticipo de los muchos usos posibles. [Sería irresponsable no aprovechar estas oportunidades. Las fronteras de la Unión Europea permiten vislumbrar cuáles podrían ser esas «oportunidades». Con el programa E-Borders, «los espacios digitales de recogida de datos sobre los migrantes ocupan un lugar central en la estrategia de los socios europeos»10. Frontex, la agencia europea de fronteras y guardacostas, se enorgullece de utilizar cada vez más tecnologías «en constante evolución»11 : automatización de los controles, robotización, inteligencia artificial12.
Estas fronteras, que sirven de laboratorio, se hacen eco de la creciente utilización en las investigaciones judiciales de métodos de vigilancia digital, hasta hace poco reservados a la lucha antiterrorista: uso de keyloggers, descifrado de discos duros, etc. Por ejemplo, en una investigación dirigida contra el movimiento antinuclear en torno a Bure, se analizaron decenas de ordenadores y teléfonos13. Según un magistrado, «el carácter excepcional de las medidas de investigación, con tecnologías muy avanzadas y escuchas telefónicas, se deriva de todos los callejones sin salida de la asociación delictiva»14 .
En la misma línea, los Estados parecen estar montando ataques utilizando fallos de seguridad aún desconocidos (las llamadas vulnerabilidades de día cero, “zero-day”) a una escala cada vez mayor. Estas fueron utilizadas por China contra los uigures en 2018, lo que llevó a una organización estadounidense de libertades digitales a afirmar que «es muy probable que esta no sea la última vez que veamos a un actor estatal atacar masivamente a un grupo étnico o activista con vulnerabilidades de día cero»15. Empresas como NSO Group16 o Cellebrite17 venden a los Estados programas espía que incluyen este tipo de herramientas.
Tras todas estas revelaciones en los medios de comunicación, la protección de la privacidad digital está más de actualidad que nunca. Hasta tal punto que las empresas aprovechan el tema para ofrecer servicios «seguros» con las limitaciones que ya conocemos: el afán de lucro las empuja a fingir que ofrecen garantías que son incapaces de cumplir. En 2021, el proveedor de correo electrónico cifrado Protonmail facilitó a las autoridades francesas información sobre activistas de Youth for Climate que, según afirmaba, no estaba registrando18. Protonmail afirmó entonces que no tenía forma de rechazar tal petición legal y modificó la parte que afirmaba lo contrario en su web19. En 2021, Proton respondió a 4.920 solicitudes legales (de un total de 6.243 solicitudes recibidas)20.
⁂
En el plano jurídico a nivel europeo, en mayo de 2018 entraron en vigor varios textos sobre la ley que se aplica a los datos personales: un reglamento que establece el marco general para la protección de datos (RGPD)21 y una directiva aplicable únicamente a los ficheros del ámbito penal (Directiva Policía-Justicia)22. Con ellas se pretende proteger los datos personales regulando la forma en que pueden ser tratados23 por las administraciones y organizaciones públicas. El RGPD también exige que los datos personales se almacenen y traten de forma segura. En la práctica, las organizaciones aplican mal el reglamento porque apenas se supervisan las infracciones24.. Por otra parte, la directiva que se aplica al tratamiento policial y judicial facilita las tranferencias de datos entre organismos policiales a escala europea y fuera de ella25.
La batalla legal sobre la conservación de datos a escala europea ilustra las limitaciones de estas normativas. El Tribunal de Justicia de la Unión Europea (TJUE) invalidó en dos ocasiones la Directiva europea de 200626,27 y finalmente, a petición de Francia28, reconsideró parcialmente su posición29. Francia aprovechó para mantener la conservación sistemática de los registros de conexión con fines de seguridad nacional o de búsqueda de los autores de infracciones penales30 mientras que Bélgica, por su parte, confirmó que abandonaba esencialmente la conservación generalizada e indiferenciada de los datos de conexión31.
El resto de nuevos textos reglamentarios aplicables en Francia son demasiado numerosos para enumerarlos y desarrollarlos aquí32. Y, como no es éste el objetivo principal de este trabajo, nos limitaremos a citar dos ejemplos. El poder de censura de las autoridades se amplía con la facultad de retirar contenidos web por «contenido terrorista» en menos de una hora33. O el enésimo juego de prestidigitación que permitió anunciar el fin del estado de emergencia al tiempo que normalizaba algunas de sus desorbitadas disposiciones en materia de derecho común34, «una prórroga indefinida del estado de emergencia «35.
Una vez más, a pesar de la propagación de un sentimiento de impotencia, estas diversas revelaciones sobre el estado de la vigilancia digital hacen aún más necesario dotarnos de los medios para comprenderla y adaptar nuestras prácticas en consecuencia.
⁂
Desde la última edición de la guía, las evoluciones técnicas también han llevado a actualizar varios pasajes: la generalización de los discos SSD hace necesario replantear el borrado de datos; las tecnologías de los procesadores han evolucionado36. En el ámbito de las animaciones web, la tecnología flash que planteaba muchos problemas de privacidad ha sido reemplazada por HTML5 y otras tecnologías asociadas… que plantean nuevos problemas.
Respecto a los ataques, las actualizaciones de los microcontroladores (por ejemplo el Management Engine de Intel) y la filtración de datos que explotan vulnerabilidades de los servicios web.
Las explicaciones sobre Tor han sido ampliamente revisadas visto que Tor ya no pretende proporcionar anonimato sino privacidad. También se han revisado las recomendaciones sobre la elección de frases y el uso de contraseñas teniendo en cuenta nuevas investigaciones sobre el tema.
En cuanto a las herramientas, se han publicado dos nuevas versiones del sistema operativo Debian GNU/Linux, así como nuevas versiones live de TAILS. La actualización de esta guía está basada en Debian 11 «Bullseye», que incluye muchos cambios tanto a nivel gráfico como en el software ofrecido.
Por lo tanto, se han revisado las herramientas para que las recetas funcionen en estos nuevos sistemas. Esto también ha dado lugar a cambios, como el rediseño del uso del cifrado OpenPGP en Thunderbird y nuevas instrucciones para utilizar el navegador Tor.
Los teléfonos inteligentes están cada vez más en el punto de mira de investigaciones policiales como Bure37 y muchos de los mecanismos que explotan vulnerabilidades de día cero están dirigidos específicamente a teléfonos inteligentes. Sin embargo, en esta guía no se abordará la reducción de riesgos en el uso de teléfonos. Requeriría un trabajo exhaustivo, para el que las personas que actualizan esta guía no disponen ni del tiempo ni de los conocimientos necesarios. El propio funcionamiento de la telefonía móvil plantea problemas de privacidad difíciles de resolver38 .
Habrá que tener en cuenta estas novedades en nuestra perspectiva/acercamiento del/al mundo digital y en nuestras políticas de seguridad.
⁂
Además de los cambios técnicos, una nueva dinámica de redacción en torno a la guía ha dado lugar a modificaciones más generales.
Se ha llevado a cabo una relectura completa que ha dado lugar a numerosas modificaciones en la redacción y a la actualización de ejemplos. Se ha añadido una nueva sección sobre la reducción de riesgos aplicada a las herramientas digitales en la elección de respuestas adaptadas a cada situación. Se ha reelaborado el ejemplo práctico de Trabajar en un documento sensible y Publicar un documento ahora incluye protección de las personas que lo consultarán.
La cuestión del género en la redacción de la guía está presente desde su creación. Para esta edición se ha procurado, en la medida de lo posible, utilizar una redacción epicena. Sin embargo, la lengua francesa es tan discriminatoria que no siempre es posible encontrar formulaciones no sexistas. Para esos casos, hemos decidido utilizar el femenino, optando por ir en contra de las normas habituales que especifican el uso del masculino. Sin embargo, al escribir este prefacio y querer justificar nuestra elección, nos damos cuenta de que no permite que las personas transgénero o no binarias se sientan incluidas, ni siquiera dentro del equipo de la guía. A pocos meses de la publicación del libro, lamentablemente no podemos plantearnos volver a hacer este trabajo. Por tanto, esperaremos a la próxima edición, si llega, para encontrar una solución integradora.
⁂
Con este repaso, esperamos que las siguientes páginas sigan siendo una sabia compañía mientras se atraviesa la jungla digital… al menos hasta la próxima.
* * *
Extractos de «Porqué esta guía»
Comprender para poder elegir
Esta guía es un intento de describir la privacidad (o más bien la falta de ella) en el mundo digital en términos comprensibles; de aclarar ciertas ideas preconcebidas con vistas a entender mejor a qué nos exponemos cuando utilizamos tal o cual herramienta.
Para poder distinguir las «soluciones», que pueden ser peligrosas si no conocemos sus límites.
Después de leer estas pocas páginas, es posible que tengas la sensación de que nada es realmente seguro con un ordenador; pues bien, es cierto. Y no es cierto. Hay herramientas y usos adecuados. A menudo la pregunta no es tanto «¿debemos usar estas tecnologías o no?», sino más bien «¿cuándo y cómo usarlas (o no)?».
Tomarse el tiempo para comprender
El software está diseñado para ser lo más accesible y fácil de usar posible. Del mismo modo, la aceleración de los ordenadores y las conexiones a Internet hacen que su funcionamiento sea casi instantáneo, casi imperceptible. Con la difusión de las redes Wi-Fi, ya ni siquiera necesitamos conectar nuestros dispositivos a cables para intercambiar datos.
Esta simplificación de las herramientas hace innecesario entender cómo funcionan. Por desgracia, también significa que tenemos que confiar y delegar muchas decisiones en expertos de los que tenemos que fiarnos. Aprender y comprender lleva tiempo y paciencia, pero también da poder y autonomía.
* * *
Incluimos las notas originales. La guía completa se puede consultar online o descargar en pdf https://guide.boum.org (francés). Existe una traducción (italiano) de la edición de 2017: https://numerique.noblogs.org/
1. « Data drives all we do » en anglais, cité par Le Monde (Le Monde, 2018, Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook).↩︎
2. Wikipédia, 2022, Christopher Wylie.↩︎
3. Wikipédia, 2021, Scandale Facebook-Cambridge Analytica.↩︎
4. Adrian Shahbaz et Allie Funk, 2020, The Pandemic’s Digital Shadow, dans Freedom House, 2020, Freedom of the Net 2020 (en anglais), traduit par nos soins.↩︎
5. Florian Maury, Piotr Chmielnicki, 2021, Pass sanitaire et vie privée : quels sont les risques ?.↩︎
6. La Quadrature du Net, 2021, Passe sanitaire : quelle surveillance redouter ?.↩︎
7. Celia Izoard, 2021, Sous le masque du Covid, la numérisation intégrale de la société, Reporterre.↩︎
8. Celia Izoard, 2021, La numérisation du quotidien, une violence inouïe et ordinaire, Reporterre.↩︎
9. Véronique Guillotin, Christine Lavarde, René-Paul Savary, 2021, Rapport d’information fait au nom de la délégation sénatoriale à la prospective sur les crises sanitaires et outils numériques : répondre avec efficacité pour retrouver nos libertés, Sénat français, p. 51.↩︎
10. Catherine Puzzo, 2018, Frontières multiples et nouveaux agents du contrôle migratoire au Royaume Uni, Sciences & Actions Sociales n° 9, p 20.↩︎
11. Frontex, 2017, Research and Development in border management(en anglais).↩︎
12. Piotr Szostak, 2021, Avec les drones et algorithmes, l’Europe construit un mur virtuel contre les migrants, Gazeta Wyborcza traduit par Courrier International.↩︎
13. Marie Barbier, Jade Lindgaard, 2020, L’État a dépensé un million d’euros contre les antinucléaires de Bure, Reporterre.↩︎
14. Laurence Blisson, magistrate et ancienne secrétaire générale du Syndicat de la magistrature, cité par Marie Barbien et Jade Lindgaard (op. Cit.)↩︎
15. Cooper Quintin and Mona Wang, 2019, Watering Holes and Million Dollar Dissidents: the Changing Economics of Digital Surveillance, Electronic Frontier Foundation, traduit par nos soins.↩︎
16. Le Monde, 2021, Apple répare une faille informatique liée au logiciel d’espionnage Pegasus**.↩︎
17. Privacy International, 2012, Surveillance Company Cellebrite Finds a New Exploit: Spying on Asylum Seekers.↩︎
18. Gaspard d’Allens, 2021, Réputé sûr, Protonmail a livré à la police des informations sur des militants climat, Reporterre.↩︎
19. Emma Confrere, 2021, Émoi après que la messagerie sécurisée ProtonMail a collaboré à une enquête judiciaire, Le Figaro.↩︎
20. Proton, 2022, Transparency Report (en anglais).↩︎
21. Journal officiel de l’Union européenne, 2016, Règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.↩︎
22. Journal officiel de l’Union Européenne, 2016, Directive n° 2016/680 du 27 avril 2016, dite « directive Police-Justice ».↩︎
23. Le « traitement » comprend tout ce qui est lié à la collecte, l’agrégation, l’exploitation ou le partage de données.↩︎
24. La Quadrature du Net, 2021, Les GAFAM échappent au RGPD, la CNIL complice.↩︎
25. La Quadrature du Net, 2016, Synthèse de la directive sur les données personnelles.↩︎
26. Cour de Justice de l’Union Européenne, 2014, La Cour de justice déclare la directive sur la conservation des données invalide, Communiqué de presse n° 54/14 sur l’arrêt « Digital Rights ».↩︎
27. Cour de justice de l’Union Européenne, 2016, Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques, Communiqué de presse n° 145/16 sur l’affaire « Tele2 ».↩︎
28. Conseil d’État français, 2018, Lecture du 26 juillet 2018.↩︎
29. Cour de Justice de l’Union Européenne, 2020, La Cour de justice confirme que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation, Communiqué de presse n° 123/20 sur les affaires Privacy International, La Quadrature du Net, French Data Network et Ordre des barreaux francophones et germanophone.↩︎
30. Conseil d’État français, 2021, Décision du 21 avril 2021.↩︎
31. Cour Constitutionnelle belge, 2021, Arrêt n° 57/2021 du 22 avril 2021.↩︎
32. Liste non exhaustive : loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020, loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur Internet, ordonnance n° 2020-1733 du 16 décembre 2020 portant partie législative du code de l’entrée et du séjour des étrangers et du droit d’asile, loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés, loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement…↩︎
33. Le gouvernement s’est battu bec et ongles pour l’obtenir. La Quadrature du Net, 7 mai 2021, Règlement de censure terroriste adopté : résumons.↩︎
34. Developpez.com, 2017, France : les députés approuvent la saisie de matériel informatique et la copie de données d’un suspect.↩︎
35. Commission nationale consultative des droits de l’Homme, 6 juill. 2017, avis sur le projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme.↩︎
36. Notamment avec la disparition des processeurs 32 bits.↩︎
37. Marie Barbier, Jade Lindgaard, 2020, La justice a massivement surveillé les militants antinucléaires de Bure, Reporterre.↩︎
38. Surveillance Self-Defense, 2018, Le Problème avec les Téléphones Portables
39. On utilise ici le terme « flics » tel qu’il est défini dans l’introduction du Guide d’autodéfense juridique : Face à la police / Face à la justice : « Dans ce guide, le mot “flic” désigne indifféremment tout type de gendarme ou de policier, quel que soit son grade ou sa qualité […] »↩︎
40. Wikipédia, 2017, État d’urgence en France.↩︎
41. République Française, 2021, Loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement.↩︎