La protección del derecho a la privacidad a través de redes informáticas de anonimato E-Book

A quienes luchan día a día por nuestros derechos y libertades.

A Juli, mi familia, amigos, Diego mi tutor, Laura mi directora y a todos los que me ayudaron, apoyaron y guiaron en el camino de la investigación que elegí.

“Ya no es la era de la industria, estamos fundamentalmente en una era tecnológica. Los fascistas tienen los recursos, pero nosotros tenemos imaginación: estamos creando las herramientas para recuperar nuestra soberanía […] Los fascistas siempre usan la narrativa de: <<somos los caballeros blancos en armaduras brillantes protegiéndolos de las amenazas, llegamos aquí y disipamos la oscuridad con pura blancura>>. Esa es una falsa narrativa porque hay corrupción en esos castillos. La verdadera base del poder yace en nosotros. Nosotros somos la oscuridad.”

(Deep Web, 2015)

1. INTRODUCCIÓN

1.1 ¿Por qué este libro?

El libro que ustedes tienen hoy en sus manos nace como fruto de una investigación que tomo aproximadamente dos años y finalmente se convirtió en la tesis de maestría de quien les escribe, la que algunos meses después y para mi alegría fue premiada como la mejor del año 2022 en la unidad académica realizada.

Si bien mi formación de grado universitario es en Derecho, ya contaba con un bagaje de conocimientos sobre tecnologías de la información y comunicación que venían desde mi hoy ya lejano paso por el colegio secundario técnico, como así también por aprendizaje autodidacta, por ello decidí certificarlos realizando una maestría en tecnologías de la información y comunicación.

Durante toda la investigación recibí consejos y recomendaciones de mi tutor, especialista en telecomunicaciones, como así también de docentes, colegas y especialistas en seguridad de la información que fui conociendo a lo largo de mi formación.

En la actualidad me desempeño como investigador doctoral en el Consejo Nacional de Investigaciones Científicas y Técnicas (CONICET) y la Universidad de Buenos Aires.

Hecha esta breve introducción sobre mi persona y mi trabajo, tal vez las preguntas que puedan surgirles a algunos lectores sean: ¿Por qué hay un abogado mezclando Derecho con tecnología? ¿Tendrán algún punto de contacto? ¿O es esta persona alguna clase de charlatán?

Esas preguntas a mi entender tienen dos respuestas (excepto la última que se las dejaré a ustedes para contestar cuando terminen el libro), por un lado: el derecho informático, la rama de las ciencias jurídicas donde me ubico y que se encarga de estudiar las problemáticas jurídicas y sociales que surgen de la interrelación entre las tecnologías de la información y comunicación y el Derecho, proponiendo soluciones y posibles regulaciones legales.

La otra respuesta, que también guarda cierta relación con la primera, esta fundamentada en una tendencia del mundo científico que cada vez tiene mayor preponderancia: aceptar la innegable realidad de que ciertos fenómenos pertenecientes a un campo de la ciencia están ínfimamente enlazados con otras disciplinas, incluso en saberes que a primera vista no parecerían tener ningún tipo de relación.

En el caso particular de mí investigación, algunas concepciones de las ciencias informáticas: arquitectura de red/protocolo/algoritmo criptográfico, tienen consecuencias y efectos sobre un instituto jurídico y social: el derecho a la privacidad.

Este tipo de interrelaciones no se agota en este tópico, sino que todos los temas abarcados por el derecho informático tienen esta característica, por ejemplo: el sistema de nombres de dominio (DNS) tiene implicancias sobre derechos de propiedad intelectual, los accesos no autorizados a bases de datos (el mal llamado hacking) se relacionan con la protección legal de los datos personales, los algoritmos de criptografía con la regulación jurídica de la firma digital, siendo estos solo algunos pocos ejemplos.

Teniendo en cuenta esta interrelación entre el derecho informático y las ciencias de la computación y volviendo al tema específico del presente libro, me gustaría que nos planteemos introspectivamente algunas cuestiones: los profesionales del Derecho sabemos cuál es el fundamento jurídico y social que hace necesaria la protección legal de los datos personales ¿Pero sabemos como Internet puede poner esa información personal en peligro y que tipos de riesgos y ataques podría sufrir el titular de los datos o un banco de datos?

Por otro lado, los profesionales de la ciberseguridad cuentan con el conocimiento sobre como proteger estas bases de datos, que ataques podrían sufrir, como mitigar posibles riesgos, entre otros tópicos ¿Pero sabemos cual es el fundamento jurídico y social que nos obliga a protegerlas más allá de lo que diga una ley o una norma ISO o NIST?

A modo de ejemplo sobre este último punto, la mayoría de las certificaciones en ciberseguridad (emitidas por ISC2, Cisco, etc.) han considerado relevantes estas temáticas, incluyendo cuestiones relativas al derecho a la privacidad y protección de datos personales dentro de los dominios requeridos para aprobar el examen.

Por supuesto es importante aclarar respecto a las mencionadas interrelaciones, que el objetivo de la formación académica y profesional no es que existan abogados que sean a la vez licenciados en ciberseguridad o ingenieros informáticos, como así tampoco que estos últimos se conviertan en abogados, sino que tanto unos como otros puedan trabajar con mayor facilidad en forma colaborativa e interdisciplinaria al tener determinados conocimientos de ambas disciplinas.

No coincido con las ideas que se han propuesto últimamente respecto a formar abogados programadores ¿Por qué un abogado debería saber programar si existe gente que se capacitó específicamente para realizar esa tarea? ¿Por qué un programador debería saber de Derecho si también existen personas capacitadas para ello? ¿No sería mejor que abogado y programador trabajen juntos y en un ámbito de entendimiento mutuo para desarrollar un software que cumpla con los requisitos impuestos por el Derecho? La misma lógica podría aplicarse con los abogados y profesionales de la ciberseguridad.

Al tener determinados conocimientos interdisciplinarios desde ambas partes, la comunicación y el entendimiento se vuelven mucho más sencillos, lo que transforma de forma positiva el trabajo tanto en el ámbito privado como en el público.

La idea de la interdisciplinariedad en las ciencias en detrimento de observarlas como compartimientos estancos y sin relación ha tenido diversos defensores a lo largo de la historia científica. Pascal, uno de los mas importantes, expuso en su obra Pensamientos: “…las partes del mundo guardan entre sí una relación tal y una tal concatenación las unas con las otras, que creo imposible conocer la una sin la otra y sin el todo […] Siendo, pues, todas las cosas causadas y causantes, ayudadas y ayudantes, mediatas e inmediatas, y manteniéndose todas por un nexo natural e insensible que liga las mas alejadas y las mas diferentes, tengo por imposible conocer las partes sin conocer el todo, así como conocer el todo sin conocer particularmente más partes.” [PASCAL, 2003].

Morin, reconocido epistemólogo francés, explica que las disciplinas son una forma de organizar el conocimiento de manera dividida y especializada. El principal problema radica es que puede recaerse en la hiper especialización, perdiéndose de vista los vínculos que tiene el objeto de estudio con otros objetos a causa del aislamiento.

El autor explica también que una mirada de alguien que no pertenece a la disciplina puede resolver problemas que dentro de ella no tenían solución, debido al desconocimiento de los obstáculos dentro de la teoría existente. La interdisciplinariedad significa entonces intercambio y cooperación [MORIN, 2002].

Dentro de la denominada teoría general de los sistemas, también se receptan estas ideas, implicando una visión holística que vaya desde lo más pequeño a lo más abarcador, reconociendo que todos los fenómenos se encuentran ligados entre sí, incluso entre disciplinas que parecerían no compartir nada [GRUN, 1993]. Un ejemplo de ello es la utilización de la segunda ley de la termodinámica, sobre todo de los conceptos de entropía y energía, para explicar el orden y desorden en cuestiones regulatorias del Derecho. La teoría del caos también es utilizada para explicar fenómenos jurídicos y su imprevisibilidad a largo plazo por la imposibilidad de contemplar todas las variables iniciales por tratarse de un sistema complejo.

Mas allá de las ideas de interdisciplinariedad planteadas y el objetivo de este libro donde se busca un acercamiento entre los profesionales del Derecho y la tecnología, esta obra tiene también otra finalidad y es tal vez aún mas importante que cualquier otra: poder llevar estos conocimientos a quienes no provienen de ninguna de estas dos disciplinas.

Como ciudadanos, conocer nuestros derechos y como protegerlos se torna una obligación, sobre todo cuando el Estado que debería garantizarlos se ve imposibilitado de hacerlo o es incluso quien los vulnera.

A su vez, desde mi posición de científico o investigador, tengo como deber principal investigar, pero también es un deber transmitir esas investigaciones a la gente. No debemos convertirnos en ermitaños aislados que solo publican papers en un lenguaje ininteligible para quien no pertenece a la disciplina.

Entonces, volviendo a la pregunta inicial: ¿Por qué este libro? Para capacitar a toda la ciudadanía sobre sus derechos constitucionales, su regulación jurídica, como así también respecto al funcionamiento y utilización de tecnologías que tienen como objetivo la protección de estos derechos en Internet: Freenet, The Onion Router (Tor) e Invisible Internet Project (I2P).

1.2 Nuestra privacidad es un derecho y está en juego

A partir del año 1995 comenzaron a establecerse las primeras conexiones comerciales a Internet en la República Argentina, teniendo un crecimiento sostenido desde ese entonces hasta la actualidad. Hoy en día un 90% de los hogares cuentan con acceso a la red y el 85,5% de la población la utiliza [INDEC, 2020].

La masificación en su uso ha provocado un cambio de paradigma dentro de la sociedad: muchas de las actividades que las personas llevan a cabo diariamente comenzaron a ser realizadas a través de dispositivos electrónicos conectados a la red.

Esta situación se vio incrementada de forma acelerada a partir del año 2020 debido a la pandemia por la enfermedad COVID-19 y las consecuentes medidas de Aislamiento Social, Preventivo y Obligatorio (en adelante: ASPO) dictadas por el gobierno nacional.

Desde los inicios de la red y hasta la actualidad, existe preocupación desde diversos sectores de la sociedad debido a las posibles lesiones a los derechos de los ciudadanos que podrían acarrear ciertas conductas llevadas a cabo utilizando Internet.

Una de las inquietudes que más atención ha suscitado es la vulneración al derecho a la privacidad de los usuarios, ya sea por parte de los mismos Estados que deben garantizarlo; por empresas privadas o incluso por terceros atacantes (el tema es profundizado en el capítulo 4 LA VIGILANCIA SOBRE LAS COMUNICACIONES PERSONALES).

En los Estados Unidos de América, desde principios de 1990 el movimiento denominado cypherpunk ha mostrado preocupación por las posibles violaciones al derecho a la privacidad en las comunicaciones, abogando por la utilización de diversas herramientas informáticas y criptográficas en miras de proteger la privacidad de los ciudadanos en una sociedad que cada vez se tornaba mas digitalizada [HUGHES, 1993].

En la actualidad existen una gran cantidad de organizaciones no gubernamentales, asociaciones civiles, etc. que tienen como objetivos principales velar por los derechos de los usuarios en Internet: Arbeitskreis Vorratsdatenspeicherung; Asociación por los Derechos Civiles (ADC); Center for Democracy and Technology; Derechos Digitales; Digital Rights Ireland; Electronic Frontier Foundation (EFF); European Digital Rights; Fundación Vía Libre; Grupo de Trabajo Aleman Privacy International; The Tor Project; entre varias otras.

Dentro de la República Argentina existe un importante antecedente jurisprudencial sobre la violación del derecho a la privacidad en las telecomunicaciones: el leading-case Halabi. A partir de una acción colectiva fue declarada inconstitucional con efectos extensibles a toda la ciudadanía la Ley Nº 25.873 y su decreto reglamentario. La misma ordenaba que los prestadores de servicios de telecomunicaciones debían registrar y sistematizar datos filiatorios de sus clientes, como así también los datos de tráfico de sus comunicaciones conservándolas por diez años. A su vez debían de instrumentar los recursos para captar y derivar comunicaciones transmitidas para su observación a pedidos de jueces o fiscales [CSJN, 2009] (para mayor ahondamiento ver acápite 4.2.9 INCONSTITUCIONALIDAD DE LA LEY Nº 25.873 MODIFICATORIA DE LEY Nº 19.798 DE TELECOMUNICACIONES, SU DECRETO REGLAMENTARIO 1563/04 Y CASO HALABI).

Como suele suceder ante los novedosos avances tecnológicos, la ley escrita queda rezagada y recién luego de algunos años con posterioridad a la instauración de estas nuevas tecnologías se dictan las normativas correspondientes para regularlas.

Argentina no ha sido la excepción a esta regla. Si bien el artículo que recepta el derecho a la privacidad existe en la Constitución Nacional desde su sanción en 1853, su desarrollo teórico es posterior, del mismo modo que las instituciones jurídicas protectorias con respecto a las tecnologías de la información y comunicación (en adelante: TIC), pudiéndose mencionar como un primer hito la inclusión del habeas data a través de la reforma constitucional de 1994 y su posterior regulación en el año 2000 a través de la Ley Nº 25.326 de Protección de Datos Personales.

Analizando de manera comparativa la situación respecto a cantidad de usuarios y actividades llevadas a cabo a través de Internet en el año 2000 y en la actualidad, se encuentran grandes diferencias que los legisladores de ese entonces no pudieron contemplar.

Esta situación se ve reflejada de forma similar en la Unión Europea, cuya normativa databa del año 1995 (sobre la que se basó la ley argentina) y a causa de los avances tecnológicos debió ser modificada y actualizada en 2016 dando lugar al Reglamento General de Protección de Datos Personales (RGPD o GDPR por sus siglas en inglés).

Dentro de los considerandos del Reglamento se explican los fundamentos de su sanción: “La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social […] Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea […] Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas […] Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea [UNION EUROPEA, 2016]

1.3 Las tecnologías como herramientas protectorias de nuestro derecho a la privacidad

Aunque las normativas que tutelan el derecho a la privacidad y los datos personales existen en gran parte del mundo, resulta dificultoso poder darles un efectivo cumplimiento debido a la naturaleza intangible y volátil de la información. A causa de esta situación son muchas las personas que deciden protegerse a través del uso de diversas herramientas informáticas.

Sostiene John Gilmore, fundador de la Electronic Frontier Foundation (EFF) y miembro del movimiento cypherpunk, que la mayor garantía que las personas pueden tener respecto a la protección de su privacidad en las comunicaciones no es a través de leyes, sino a través de físicos y matemáticos, en referencia al uso de criptografía [GILMORE, 1991].

Siguiendo esa línea de pensamiento a partir del año 2000 han surgido diferentes proyectos tendientes a proteger la privacidad en Internet de sus usuarios a través de diversas estrategias, entre ellos es posible enumerar a: Freenet, The Onion Router (en adelante: Tor) y The Invisible Internet Project (en adelante: I2P).

Explica Kozierok que la arquitectura de red dominante y que funciona de base en la mayoría de servicios que utilizan el Protocolo de Control de Transmisión y Protocolo de Internet (en adelante: TCP/IP, por sus siglas en inglés: Transmission Control Protocol/Internet Protocol) es la denominada cliente-servidor [KOZIEROK, 2005].

Las herramientas informáticas que se analizaron en la presente investigación dejan de lado esta arquitectura por defecto y utilizan una arquitectura de red entre pares (conocida también como P2P por sus siglas en inglés: peer-to-peer) en el caso de Freenet; arquitectura enrutamiento cebolla en el caso de Tor; y arquitectura enrutamiento ajo en I2P. Esto permite a los usuarios acceder a diversos servicios web aumentando la protección a su privacidad.

A partir de la clasificación propuesta por Ciancaglini, Balduzzi, McArdle y Rösler, puede dividirse el contenido de Internet en clearweb/clearnet/surface web: información que puede ser indexada por motores de búsqueda; deep web: todo el contenido que no es indexado; dark net: red privada accesible solo a través de determinados softwares de las que tampoco se indexa su contenido en buscadores; dark web: el conjunto de estas redes privadas denominadas dark net [CIANCAGLINI, et al., 2015].

La herramienta Tor permite acceder tanto a su propia dark net como a la clearweb y deep web; a diferencia de Freenet e I2P las cuales tienen como objetivo principal que los usuarios puedan ingresar a sus redes privadas.

A partir de ese cambio en la arquitectura de red cliente-servidor, el proceso comunicativo entre emisor y receptor dejará de establecerse en forma directa y a su vez el contenido de esa comunicación estará siempre cifrado, aumentando así la protección a la privacidad de los usuarios de Internet al permitirles controlar y disminuir la cantidad de sus datos personales que quedarán expuestos frente a terceros.

1.4 Un panorama al contenido del libro

Tal como les conté en párrafos anteriores este libro nació como una tesis. Para quienes no están familiarizados con el género literario, podría contarles que suele tener ciertos requisitos esenciales en su forma de redacción.

Las tesis suelen estar redactadas en un lenguaje neutral, frio y en tercera persona, donde el autor se vuelve alguien lejano tanto al lector como al objeto de estudio para que la investigación sea lo más objetiva posible.

Como ya habrán notado, ese tipo de lenguaje fue dejado de lado durante la adaptación de la tesis al formato libro. En mi opinión quien busca transmitir contenidos o conocimientos debe encontrarse lo más cercano posible de quienes los recibirán. Por otro lado, dudo mucho que la neutralidad del lenguaje tenga que ver con la objetividad o no de un estudio científico, pero como se suele decir: “Donde manda capitán, no manda marinero”.

Otro de los requisitos esenciales de una tesis es determinar los famosos “objetivos” tanto generales como específicos. Estos también se plantean utilizando un lenguaje neutral y verbos en infinitivo: “analizar”, “examinar”, “ahondar”, etc.

En reemplazo de esos objetivos redacté este pequeño acápite donde quisiera darles un panorama general de los contenidos que se tratan en el libro que tienen en sus manos, ya que considero respetable para con el lector contarle desde el principio que encontrará y que no.

El libro tiene cuatro grandes ejes que formaron parte los capítulos que suelen componer una tesis: el marco teórico, el estado del arte y el desarrollo.

El primer eje comprende el concepto de Internet, su historia, su contenido, los modelos de referencia de redes informáticas, los tipos de arquitecturas de red y la criptografía.

El segundo eje, de contenido jurídico, explica el concepto de derechos personalísimos, derecho a la privacidad, la autodeterminación informativa, la protección de datos personales y su regulación en la República Argentina.

El tercer eje incluye un abordaje sobre la vigilancia en Internet, analizando diferentes teorías que atacan, defienden o buscan adaptar el derecho a la privacidad en el siglo XXI, como así también la regulación jurídica respecto a la vigilancia de las comunicaciones en Argentina.

El cuarto eje está destinado a las tecnologías de anonimato: Freenet, Tor e I2P. En este eje se analiza su historia y funcionamiento, incluyendo a su vez experimentaciones que examinan que datos del usuario quedan expuestos.

A su vez, como la idea del libro es que los usuarios puedan aprender a utilizar estas herramientas, se incluye una guía para el sistema operativo Windows que abarca desde las cuestiones mas básicas a algunas de mayor complejidad de cada una de las tecnologías mencionadas en el párrafo anterior, incluyendo: descarga e instalación, navegación web y publicación de contenidos web.

Espero que tanto los lectores que provengan del campo del Derecho, como del de sistemas o incluso quienes no formen parte de ninguno de los dos, puedan encontrar en este libro una herramienta de consulta sobre temas que en mi opinión son de suma actualidad y que frente a los abusos a nuestra privacidad por parte de Estados, empresas privadas y actores maliciosos; cada vez se vuelven mas recurrentes en la práctica profesional y cotidiana.

2. TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

2.1 Internet

2.1.1 Conceptualización de Internet

Internet puede ser definido no como una red, sino como: “una enorme colección de distintas redes que utilizan ciertos protocolos comunes y proveen ciertos servicios comunes.” [TANENBAUM y WETHERALL, 2012].

Tal como explica Comer, pensar en una red de redes puede conllevar cierta dificultad de aceptación por los usuarios que no están familiarizados con el concepto, debido a que implica una abstracción que oculta los detalles de las redes físicas que la componen [COMER, 1995].

Comer propone dos esquemas representados en el gráfico 2.1.1:

GRÁFICO 2.1.1 [COMER, 1995]

El esquema superior representa el punto de vista del usuario de una red TCP/IP, desde su perspectiva parece conectarse a una sola y gran red.

El inferior representa la estructura real de la red, incluyendo su parte física y los enrutadores que proporcionan la interconexión. Esto se analiza con mayor detenimiento al final del presente acápite.

La característica principal de Internet es ser una red compuesta por una interconexión de redes: es un ejemplo de un sistema de interconexión abierto, que a diferencia de los sistemas privados, sus especificaciones están disponibles de forma pública, por lo tanto cualquier persona puede desarrollar el software necesario para comunicarse a través de la red, incluso utilizando ordenadores con diferentes especificaciones técnicas [COMER, 1995].

Naughton divide la historia de Internet en dos fases compuestas de varias etapas. La primera fase se denomina Del experimento militar a la utilidad civil y abarca desde el año 1967 a 1995, sus etapas son: ARPANET (1967 a 1972), Desarrollo de una interred basada en TCP/IP (1973 a 1983) y Transición de una red de investigación militar a una civil (1983 a 1995). La segunda fase comienza en 1995 y continua hasta la actualidad: El Internet Comercial, abarcando: Primer boom de Internet (1995 a 2000), Web 2.0 (2001 a 2003) y finalmente Conectividad móvil, vigilancia online, cibercriminalidad, poder de las compañías de internet, cambios en los patrones de uso e implicancias (2004 a la actualidad) [NAUGHTON, 2016].

Como se ha explicado en el capítulo introductorio, Internet fue creciendo paulatinamente desde su creación hasta la actualidad, donde ha alcanzado la calidad de red de redes mundial, encontrándonos hoy en día dentro del último periodo propuesto por el autor. Internet se ha convertido en una herramienta indispensable en la vida cotidiana de las personas, cambiando sus patrones de uso y provocando diversas consecuencias jurídicas y sociales.

2.1.2 Inicios de Internet: ARPAnet