Anonimato e Internet – OWASP Day Ecuador 2015

Les dejo la presentación que realicé para el OWASP Day Ecuador 2015 sobre Anonimato e Internet. Originalmente la había realizado usando strut.io, pero todavía no hay como realizar un embed de esa aplicación (quien quiera el archivo .json me lo pide nomás). Así que he pegado el contenido en una presentación de Google Drive, por si alguien quiere usarla o copiarla y modificarla –eso pese a que la mayoría de diapositivas son imágenes.

Para quienes quieran verla fuera de línea, también he transformado la presentación a PDF, pero es importante recordar que la mayoría de diapositivas cuenta con enlaces a herramientas web.

Si te interesa profundizar sobre el tema, no olvides leer este documento que publicó la EFF sobre anonimato, cifrado e Internet.

Consejos para el próximo Crudo Ecuador

Creo que a la gran mayoría de ecuatorianos nos apena ya no reírnos con los memes de Crudo Ecuador. Su inteligencia, constancia y determinación alegraban hasta los lunes, por eso quiero dejar unos pocos consejos para quien desee tomarle la posta en el futuro. Es importante comprender que Crudo Ecuador se enfrentó a dos problemas muy graves en internet: el ataque al anonimato y el abuso del derecho de autor.

Anonimato en la red

Para hablar del anonimato, me voy a servir de un ejemplo práctico. El día de ayer vi un pésimo documental contra Wikileaks: We Steal Secrets. En uno de sus momentos, cuando querían pintar a Julian Assange como paranoico, el documentalista muestra un extracto de una entrevista al periodista Mark Davis, quien declara:

En el tiempo que estuve con él, creo que la conciencia de [tener] alta seguridad en realidad era pertinente; era apropiado. Eso sí, él había estado viviendo así por, ya sabes, 5 ó 10 años, cuando es probable que no haya sido apropiado.

Es una pena que yo, que no soy periodista, tenga que explicar porque las declaraciones de alguien que sí lo es –y, por tanto, debería saber exactamente cómo funciona el mundo de la información– están tan equivocadas. En el mundo digital, la información es protegida mediante algoritmos de cifrado. Estos algoritmos son fórmulas matemáticas que enredan la información lo suficiente como para que sea difícil obtener la contraseña incluso para una computadora. Pero tras un tiempo determinado, las computadoras hallarán tu clave y se harán con tu información.

Así, por ejemplo, yo puedo estar enviando información cifrada por los canales de CNT y tener esos datos almacenados en los servidores de correo de gmail, hotmail, yahoo o cualquier otra empresa. Si no protejo mis correos, es probable que los proveedores de correo tengan fácil acceso a mi información y se la entreguen a un gobierno interesado, como le sucedió a Wikileaks. Si quienes trabajan en esta organización cifraron sus correos tendrán unos 5 ó 10 años antes de que sus correos sean descifrados. Hay que protegerse desde antes.

Entonces el primer consejo es que tienes que planificar con tiempo, sería una muy buena idea borrar tus huellas digitales y todo lo que podría generar una asociación con la nueva cuenta que piensas crear. Una segunda opción es que, en lugar de no tener vida digital alguna, uses herramientas que garanticen tu anonimato. Esto puede ser más o menos seguro según cuanto quieras complicarte la vida, puedes usar TAILS, que es un sistema operativo para que jamás detecten tu computadora y que puedes usar desde una memoria USB, pero algo como TOR (que es un navegador parecido a Firefox que esconde tus ideas y venidas en internet) debe ser suficiente. Crear una cuenta de correo usando TOR puede ser difícil, así que deberás buscar un buen proveedor o utilizar un proxy, evita los servicios que piden tu número celular. Inicia sesión en redes sociales siempre usando TOR y borra los metadatos de tus gráficos y documentos siempre. No hables de tus actividades, no uses el celular inteligente, es demasiado espiable.

Si compras un dominio, puedes usar servicios como Domain By Proxy para proteger tu identidad.

Abuso del derecho de autor

Pero a Crudo Ecuador no lo encontraron usando sistemas informáticos. Lo hallaron porque quisieron censurarlo abusando del derecho de autor. Empezaron a crear clones de su página y empezaron a mentirle a Facebook diciendo que ellos eran los dueños de la marca «Crudo Ecuador», Facebook le pidió a Crudo que demostrara que él era el dueño legítimo de ese nombre. Eso lo obligó a registrar su marca y, por ello, contrató un abogado y acudió al Instituto Ecuatoriano de Propiedad Intelectual. No soy quien para cuestionar al IEPI –puesto que no sé exactamente cómo llegaron esos trámites a ojos públicos. Adicionalmente, estos trámites son supuestamente transparentes y la documentación debe ser hecha pública– pero si fuera el nuevo Crudo Ecuador, acudiría a un abogado que garantice mi confidencialidad y le pediría que su estudio jurídico registre la marca en otro país, no a tu nombre, sino a nombre del estudio jurídico. La marca registrada es reconocida a nivel internacional y, por tanto, el trámite puede ser realizado en el extranjero.

Breve historia del anonimato digital en Ecuador

Este texto apareció originalmente en grin.ga

Parte 1: El incipiente graffiti digital ecuatoriano

Desde 2010, en Ecuador ha proliferado el uso de cuentas anónimas en redes sociales.

Las cuentas anónimas con más fama, desde el inicio, fueron las que protagonizaban ataques a los “enemigos” del actual gobierno. Algunas de estas cuentas de ataque entablaban diálogos directos con el presidente de la República —tal fue el caso de la cuenta @elpatriotaec— o con altos funcionarios del gobierno, como el secretario de comunicación Fernando Alvarado, quien hacía continuas referencias al blog anónimo de la tristemente célebre Lola Cienfuegos. El Telégrafo, un periódico financiado por el gobierno, incluso entrevistaba a estos personajes. En ese entonces, cuando el anonimato defendía al gobierno, todo estaba bien.

En febrero de 2012, el entonces asambleísta por Sociedad Patriótica Fernando Balda denunció la existencia de lo que él denominó un “Troll Center”, un centro de operaciones de cuentas anónimas en redes quienes difundían conflicto y propaganda en las comunidades de Internet en Ecuador. Balda sustentó sus aseveraciones mostrando fotografías de pantalla con nombres de usuario, claves y una serie de correos que contenían instrucciones para el funcionamiento de dicho centro, según él, con fondos públicos. ¿Cómo sabíamos que esto era real? Balda cambió las contraseñas e inutilizó dichas cuentas. Tiempo después el exasambleísta fue sentenciado con un año de reclusión. La sentencia se amparó en que Balda «atentó contra la seguridad del Estado», pues en 2009 había emitido un boletín asegurando que el gobierno mantiene un centro de espionaje. Cuando se aprobó la nueva ley penal y suscribió su delito, no salió libre debido a que se le interpuso una demanda de alimentos. Su blog, donde realizó las denuncias, fue eliminado por WordPress.

Muchas de las cuentas anónimas del supuesto Troll Center, fácilmente identificables debido al uso de hashtags similares y a un patrón horario predecible, fueron desapareciendo paulatinamente para ser reemplazadas por otras más agresivas y, aparentemente, más independientes en su accionar respecto a otras cuentas.

Un miembro de esta segunda generación de cuentas anónimas gobiernistas, @elpatriotaec, tenía una cuenta con el mismo nombre en Facebook. La página de Facebook de El Patriota resultó estar vinculada a Ximah Digital, una agencia de publicidad que trabaja para el gobierno con contratos de miles de dólares.

Desde mediados de 2013, el gobierno de Rafael Correa ha hablado de regulación de redes sociales, y cito las declaraciones del secretario jurídico de la presidencia:

He propuesto que se regule mejor todo lo que es procesos de calumnia en redes sociales porque no pueden ser un instrumento de impunidad. Les he pedido a la Comisión que exista un proceso especial cuando existan calumnias en Twitter o en Facebook.

Pero últimamente, estas intenciones de regulación han tomado fuerza, en especial durante este el último mes. En febrero del 2015, el Presidente de la República, en su informe semanal de actividades, llamó por nombre, apellido y ciudad a algunos usuarios de Twitter que lo habían insultado en redes sociales.

Anteriormente, había atacado a una página de sátira que cuenta con un aviso de descargo de responsabilidad, el famoso Crudo Ecuador. Hubo toda una operación para obligar al administrador a salir del anonimato: se crearon varias cuentas con el mismo nombre que trataron de reclamar derechos de autor a Facebook. Esta acción obligó al propietario original a registrar la marca en el Instituto Ecuatoriano de Propiedad Intelectual. Al momento de registrar la marca Crudo Ecuador, se revelaron los documentos entregados al IEPI que comprometen su identidad, incluyendo los nombres de sus abogados.

Dado que no existe un mecanismo legal contra el anonimato, el presidente ha anunciado la creación de una red social desde donde la gente afín al oficialismo pueda  responder en conjunto a sus enemigos  redes sociales. En el enlace ciudadano 409 declaró:

Ahora dicen que el anonimato en las redes permite el mayor flujo de información. Tonterías, cuando a nosotros nos han enseñado desde chiquitos que no hay que tirar la piedra y esconder la mano. Si no lo puedes decir mirándole a la cara, no lo digas. Ahora resulta que el anonimato es bueno. Cuando ustedes actúan en las redes sociales ya no están practicando su privacidad. No hay libertad sin responsabilidad.

Estos eventos han generado un amplio debate público. La sociedad civil redactó un manifiesto en defensa del anonimato en redes, al cual se han adherido varias organizaciones internacionales.

Existen otros puntos para reflexión y análisis sobre el anonimato en Ecuador que van más allá del anonimato en Internet. El registro obligatorio para todos los números celulares, el cuál debe realizarse con la cédula de identidad, imposibilita el anonimato de dueños de celulares. El uso del sistema de vigilancia ECU911 que mantiene cámaras en centenares de calles, en más de 50.000 unidades de transporte público, en los colegios e inclusive en moteles, cabarés, salones de masajes y casas de cita. El uso de facturas electrónicas obligatorias, así como de dinero electrónico que podrían suponer un peligro para cualquier transacción anónima, entre otros.

Parte 2: La importancia del anonimato en la red

“Porque detrás de esta máscara, hay una idea (…) y las ideas,
son a prueba de balas”, procesos judiciales, multas,
asesinatos de personaje, persecución e intimidación.

Existen dos formas de abordar el papel del anonimato en la sociedad. La primera, bastante ingenua, se basa en la premisa de que vivimos en un mundo justo. En dichas condiciones, nadie tiene porque esconderse puesto que los abusos de poder no existen, no está la posibilidad de incurrir en conductas poco éticas o de comprar sentencias. El anonimato es pues usado por cobardes para lanzar la piedra y esconder la mano. En esa realidad paralela, el anonimato se prohíbe a priori, pues ¿quién quisiera hacer uso de una herramienta tan peligrosa y dañina cuando existe un Estado de Derecho perfecto?

El otro escenario desde el cual podemos analizar el anonimato es aquel donde decididamente vivimos en un mundo imperfecto, injusto, y vulnerable al abuso de poder. Esto lo describe muy bien Julian Assange en su libro Cuando Google Encontró a Wikileaks. Uno puede meterse en la lucha por controlar los medios de producción, como dicta el marxismo, pero eso es muy difícil dice. Lo más recomendable es afectar lo que la gente sabe, puesto que “puedes generar un efecto en una gran cantidad de personas con una pequeña cantidad de información”. En su perspectiva, el papel que cumple la información es “incentivar comportamientos que sean justos y desincentivar comportamientos injustos”.

En un escenario desequilibrado, el anonimato se convierte entonces en un escudo frente a los abusos del poder. Su papel es permitir que la información fluya a pesar de todos los mecanismos que se hayan implementado para evitarlo. El anonimato permite a los potenciales denunciantes de casos de corrupción o abuso contactar a periodistas sin comprometer sus vidas y, por tanto, le permite al periodista ejercer su derecho a buscar información que, de otra manera, no le llegaría. A nosotros los ciudadanos comunes, el anonimato  nos otorga el derecho a informarnos sobre mal uso de nuestra delegación de poder (político o económico). Wikileaks, por ejemplo, basa su modelo de denuncias en el uso del anonimato por parte de la fuente. A priori, la organización no tiene cómo saber quién les entrega la información. La meta de Wikileaks es “abrir gobiernos”.

Como vemos el anonimato no es incompatible con la transparencia y la justicia. Es un medio para conseguirla.

El anonimato se presta para abusos, nadie lo cuestiona, es por eso que existen mecanismos que ayudan a corregir estos errores. Los jueces, una vez determinada la causa probable de un delito, intervienen para autorizar una investigación policial y revelar al personaje anónimo. En internet, esto se trabaja en conjunto con los proveedores del servicio de internet y de contenido. Existen mecanismos adecuados para casos de abuso, el Código Penal Ecuatoriano lo contempla en su artículo 145.

Es importante que los ciudadanos sepamos defender nuestro derecho a pensar diferente, y que exijamos al Estado que respete los mecanismos que existen para asegurar su transparencia. Un mayor control de internet es peligroso, porque las sociedades pensamos en voz alta. Las expresiones que vertimos en la red, sean ficticias, peligrosas, equivocadas o risibles, son nuestra forma de explorar la realidad, evolucionar y crecer. Es parte de nuestra forma de autodeterminación. Un control absoluto de la red sería instituir una policía del pensamiento en nuestra sociedad y nadie en su sano juicio quiere eso.

Emilio Palacio: “Por qué fundé Wikileaks”

En su más reciente libro, el periodista ecuatoriano y fundador de Wikileaks, Emilio Palacio, asilado en la embajada de Reino Unido en Estados Unidos, nos describe cuál fue la razón por la que creó Wikileaks en las páginas de su último libro. A continuación un extracto donde empieza con una descripción de lo que él piensa son los componentes de la evolución social, cuál es el papel del periodismo en ello, qué amenazas enfrenta y cómo su organización ha trabajado para hacerles frente:

Cuando uno analiza las injusticias en Ecuador, se da cuenta que si uno quiere afectar cómo la sociedad evoluciona, entonces, sólo tiene dos variables en las que puede incidir: qué es lo que la gente tiene y qué es lo que sabe. La repartición de recursos es una tarea muy compleja, pero afectar lo que la gente sabe es mucho más fácil, un pequeño pedazo de información puede difundirse muy rápidamente. Entonces la pregunta que debemos hacernos es ¿Qué tipo de información producirá comportamientos más justos y desincentivará los injustos? ¿Qué necesitamos para que se levanten varios líderes y se logre una concertación democrática?

Actualmente, los periodistas tienen dificultad en recabar información que el gobierno de Correa tiene interés en censurar. Wikileaks fue inicialmente diseñado para una situación muy adversa donde publicar sería extremadamente difícil y nuestra única defensa efectiva sería el anonimato, donde ser la fuente es riesgoso (como sucede con muchos servidores públicos que son testigos de casos de corrupción pero que no denuncian para proteger sus puestos y sus vidas), y donde internamente teníamos a un equipo muy pequeño y completamente confiable.

Yo describo la censura como una pirámide. En la punta de la pirámide está el asesinato de denunciantes, periodistas y editores. Asesinan gente y sus asesinos nunca aparecen: Fausto Valdivieso anunció que revelaría corrupción en TC Televisión. Lo asesinaron. El gobierno lo vinculó a la mafia. Luego se retractaron. Quinto Pazmiño reveló que Pativideos se reunió con especuladores. Pazmiño murió de un «ataque al corazón» A su viuda la asesinaron. Gral. Gabela, el policía F. Jiménez, J. I. Tendentza.

En el siguiente nivel están los ataques legales como juicios millonarios hacia periodistas y editores. Correa quiere un pais de brutos. El decide que podemos ver y que no. Sus abogados en varios países del mundo se encargan de la censura. Un ataque legal es simplemente un uso demorado de fuerza coercitiva que no necesariamente resulta en asesinato pero puede terminar en prisión o embargo de bienes. No sólo fabrican sentencias (juicio Emilio Palacio y El Universo). Además, fabrican falsos testimonios.  Los auditores de los contratos del Gran Hermano encontraron que Correa sabía de esos contratos. Correa ordenó que los encarcelen.

Hay muy poca gente asesinada, existen unos pocos ataques legales públicos sobre individuos y corporaciones, y entonces en el nivel de más abajo existen tremendas cantidades de autocensura. Esta autocensura ocurre en parte porque la gente no quiere subir hacia los niveles superiores de la pirámide. No quiere ser víctima de ataques legales y de fuerza coercitiva, ni quiere ser asesinada. Después están otras formas de autocensura motivadas por preocupaciones acerca de perderse la oportunidad de un negocio o una oferta.

Wikileaks ha decidido lidiar con las dos secciones superiores de esta pirámide de censura: amenazas de violencia y amenazas demoradas de violencia representadas por el sistema legal. En cierta forma, esos son los casos más difíciles, en cierta forma son los más fáciles. Son los más fáciles porque está muy claro cuando hay cosas que están siendo, o no, censuradas. También es más fácil porque el volumen censura es relativamente pequeño, incluso cuando la importancia por evento puede ser muy alta.

Al inicio, Wikileaks no tenía tantos amigos. Así que tomamos la posición que necesitábamos para tener un sistema de publicación donde la única defensa era el anonimato. Wikileaks permite que la gente envíe denuncias sin comprometer su identidad y esto evita la persecución criminal del gobierno. Internet en todo el mundo es el futuro de la prensa. Internet en Ecuador es el refugio de la prensa.


Nota: Este es un Mashup derivado de publicaciones de Emilio Palacio en su cuenta de twitter y publicaciones realizadas por Julian Assange en su último libro: Cuando Google encontró a Wikileaks. Fue creado debido a que el periodismo ecuatoriano (bueno y malo) no parece entender la importancia de las herramientas de denuncia anónima y, entre sus más duros críticos, se encuentra precisamente Emilio Palacio, quien realiza aseveraciones muy severas sobre el proceder del gobierno respecto a los denuciantes, al tiempo que ataca a Julian Assange.

Fuentes: [1], [2], [3], [4], [5], [6], [7], [8], [9]

 

La revisión por pares no funciona. La estamos arreglando con anonimato.

Artículo original en inglés publicado en WIRED.

Somos los fundadores de PubPeer.com, un foro en línea para discusión cientifica de investigación académica. Nosotros y muchos otros usuarios del sitio web somos anónimos. Esa anonimidad es importante para la libre expresión, para la libertad academica y para la investigación científica. Pero está siendo amenazado, y esa es la razón por la que estamos yendo a la corte para defender el derecho al anonimato.

¿Alguna vez has cuestionado las afirmaciones que hacen los científicos? Por ejemplo, el descubrimiento del año pasado de la así llamada “partícula de Dios”, o las idas y venidas sobre si la cafeína es buena o mala para ti. Incluso si no lo has hecho, otros científicos sí. El análisis y la crítica del trabajo de otros es una parte integral de la investigación. Todos los artículos que los científicos publican se someten a un proceso formal de “revisión por pares” antes de que sean publicados, con la meta de asegurar altos estándares.

El problema es que la revisión por pares actual es un proceso averiado. Muy a menudo, se filtran errores y pueden permanecer sin corrección por años. A pesar de que se exponen eventualmente, eso a menudo sucede mucho después de que otros investigadores o ensayos clínicos se hayan basado en esos datos erróneos.

No sólo se desperdicia dinero de los contribuyentes (en Estados Unidos, por ejemplo, el Instituto Nacional de Salud dio 30 mil millones de dólares para investigaciones el año pasado), sino que se erosiona los cimientos mismos de la investigación científica, que se construye en base al trabajo existente. Si la investigación actual básica sobre cáncer resulta estar equivocada ¿qué significa eso para aquellos que se inscriben en los ensayos clínicos el día de mañana? Este no es un problema hipotético.

Una tarea para los usuarios anónimos de PubPeer

Aquí es donde entre en juego PubPeer. Creamos PubPeer en nuestro tiempo libre hace dos años para mejorar el proceso de revisión por pares mediante el uso del poder de internet para acelerar tanto el intercambio de ideas como el progreso científico. Ahora, gracias a PubPeer, los científicos pueden comentar instantántaneamente en el trabajo de sus pares, directamente. Los resultados han sido dramáticos. Al día de hoy, los comentadores de PubPeer han estado en medio de las más grandes historias científicas, sobre todo en el análisis de un polémico artículo sobre células madre, que finalmente fue retirado por sus autores.

PubPeer funciona porque permitimos comentarios anónimos. Sin ese anonimato, la mayoría de científicos temería represalias personales si critican el trabajo de sus pares – o quizá el de sus futuros empleadores. Pero con ese anonimato, nuestros usuarios han generado una corriente contínua de comentarios que resaltan problemas en la investigación científica básica en un sinnúmero de tópicos: cáncer, células madre, diabetes y más.

Los usuarios registrados deben ser autores en una publicación científica. Filtramos los comentarios de usuarios no registrados para mantener las cosas civilizadas, científicas y basadas en hechos. Los comentarios deben basarse en información pública verificable, lo que asegura que lo importante sea lo substancial de los comentarios de nuestros usuarios, y no sus identidades. No forzamos a nuestros usuarios a identificarse, y resulta que ese es el ingrediente secreto que permite a nuestro sitio realizar contribuciones únicas al proceso de revisión por pares.

La amenaza a PubPeer (y a la ciencia)

Desafortunadamente, el anonimato que hace que PubPeer fucione se encuentra amenazado. Un científico oncólogo prominente, descontento con la atención que sus artículos de investigación han recibido en PubPeer, está demandando a algunos de nuestros comentaristas anónimos por difamación. Y él está tratando de usar una orden de comparecencia para obligar a PubPeer a entregar cualquier información de identificación que tengamos.

Con ACLU y nuestro abogado desde hace mucho tiempo Nick Jollymore, estamos luchando contra este intento de enfriar la discusión científica, porque creemos que esos comentarios son opiniones científicamente válidas que plantean cuestiones de interés público real. Si deseas hacer tu propio juicio, puedes leer el informe jurídico que cuestiona la citación, junto con un dictamen pericial del Dr. John Krueger, un científico que pasó veinte años en el gobierno federal investigando denuncias de irregularidades en investigación.

Creemos que las preguntas científicas deben resolverse a través de la discusión científica, no a través de procedimientos judiciales ¡Imagina si una demanda se presentase cada vez que un economista critica el trabajo de otro economista! La amenaza de responsabilidad sofocaría el discurso académico legítimo. Por esa misma razón, siempre hemos alentado a los investigadores a responder a nuestros comentaristas con lógica y datos, no con demandas por difamación.

Peleando por el derecho a permanecer en el anonimato

Afortunadamente, la ley está de nuestro lado. Protege el derecho al discurso anónimo. El derecho no es absoluto, pero protege a aquellos que optan por permanecer en el anonimato al participar en un discurso legítimo. Algunos de los fundadores de Estados Unidos – James Madison y Alexander Hamilton – escribieron sus trabajos más influyentes detrás del escudo de anonimato. ¿Por qué? Pues para no enfrentarse a la persecución política a manos de los británicos, y porque sus ideas podrían ser evaluadas por sus méritos y no por la identidad del mensajero. El mismo principio se aplica a nuestro caso. Se trata de la libertad académica.