Por Lucas Teixeira | #Boletín13

Torres celulares falsas, que pueden transportarse en maletas y hasta en un bolso, pueden usarse para engañar su celular y descubrir su identidad, registrar e interceptar mensajes de texto y llamadas de voz, y, en algunos casos, incluso para inyectar malware. Tales dispositivos ya fueron utilizados por fuerzas policiales en todo el mundo y también pueden ser usados por delincuentes para cometer fraudes, robos de identidad, espionaje y envío de SPAM. En este artículo veremos cómo funciona esa tecnología, algunos métodos para detectar interferencias en la red y medidas de protección contra algunos (no todos) ataques que las redes falsas pueden realizar.

Cell-site simulators / IMSI catchers / Stingrays

De acuerdo con la guía Street Level Surveillance de EFF, los cell-site simulators, conocidos popularmente como IMSI catchers o Stingrays, son dispositivos que fingen ser una torre de celular legítima, convenciendo a los celulares cercanos a que se conecten al dispositivo para registrar los números IMSI de teléfonos celulares en el área o capturar el contenido de las comunicaciones. La siguiente figura, presente en la guía, muestra cómo funcionan (traducción del autor):

Uso de torres falsas

En el boletín pasado hablamos sobre cómo se usaron torres falsas para identificar e intervenir las comunicaciones de manifestantes:

[La práctica de usar torres celulares falsas] ha sido detectada, por ejemplo, en Ucrania. Los participantes de una gran manifestación en ese país fueron identificados a través del uso de uno de esos aparatos y muchos de ellos recibieron el siguiente mensaje de texto: “Estimado usuario: usted fue registrado como participante de un motín masivo”.

De igual manera, se encontraron evidencias del uso de «IMSI catchers» para monitorear manifestaciones en los EE. UU. La policía de la ciudad de Baltimore, Maryland (epicentro de grandes manifestaciones contra la violencia policial desde la muerte de Freddie Gray, en abril) recientemente admitió haber usado más de 4300 veces desde 2007 el Stingray, un IMSI catcher producido por la Harris Corporation. Es difícil establecer exactamente en qué situaciones se usó el dispositivo, ya que su uso suele mantenerse en secreto: la Harris Corporation exigía un acuerdo de confidencialidad que prohibía que los departamentos mencionaran los Stingrays en sus informes y pedidos judiciales.

Además de potenciales violaciones a la libertad de expresión y la privacidad de disidentes políticos, las torres falsas también son un riesgo para el sector privado y para los gobiernos. En un artículo sobre cell-site simulators para la revista PC World, Tony Bradley afirma que «espías corporativos pueden usar el IMSI catcher para alcanzar personas de high profile específicas en una empresa para obtener acceso a secretos industriales y otra información delicada».

Es muy difícil identificar el origen de los ataques: «si una persona usa el dispositivo de forma inteligente y cuidadosa y no permanece mucho tiempo en el mismo lugar, es prácticamente imposible detenerla», afirma el ingeniero de radiofrecuencia Jan Valos en una entrevista para Radio Prague, radio internacional de la República Checa, cuya policía ya en 2012 registraba el uso clandestino de torres falsas (conocidas allí como Ágatas) por todo el país. También hay registros de uso clandestino de esos aparatos en China, Londres y en los EE. UU..

Como obtener una

El mercado de cell-site-simulators existe desde hace años y forma parte de la próspera “industria de intercepción legal”, que la compañía de estudios de mercado Markets and Markets estima alcanzará los USD 1,3 mil millones en ventas en todo el mundo en 2019.

En enero de 2016 VICE News, actuando de manera encubierta en un mercado online, obtuvo ofertas, por USD 15.000 a USD 20.000, de un cell-site simulator que puede “capturar aproximadamente 1.200 números por minuto”. La empresa que realizó la oferta, HK Medsourcing de Hong Kong, dijo haber vendido el producto en América del Norte, América del Sur, África, Rusia, Israel y «algunos países del sudeste de Asia». “La semana anterior, habían estado en un evento en Bangladesh, donde las fuerzas de seguridad habían sido acusadas de muertes extrajudiciales según Human Rights Watch ”, dijo Ben Bryant a VICE.

El dispositivo que se le ofreció a VICE News

En una gran feria de seguridad en París, la Milipol, VICE encontró versiones pocket de las torres falsas, que pueden ser transportadas por un individuo, por € 35.000 / USD 38.000.

A pesar de que el mercado de cell-site simulators ya esté bien establecido y tenga sus big players, la aparición de las radios definidas por software (software defined radio, SDR) y de computadoras poderosas cada vez más pequeñas (como la Raspberry Pi y la BeagleBone) redujeron drásticamente el costo y el conocimiento técnico necesario para hacer una, así como también la practicidad y la discreción al transportarlas y utilizarlas.

El componente menos trivial de obtener es el que efectivamente transmitirá y recibirá las ondas de radio. La compañía americana Ettus Research produce dispositivos USRP que pueden controlarse mediante una computadora para simular el funcionamiento de cualquier dispositivo de radio existente, lo que incluye antenas de celular.

Una vez que se obtiene el equipo de radio, basta instalar un software que entienda el protocolo GSM y que pueda programarse para actuar como un IMSI catcher o interceptar llamadas. Una persona publicó un video en Youtube donde usa un USRP N210 conectado a una computadora con el software OpenBTS para obtener las informaciones de un celular y mandar un mensaje de texto.
El modelo usado en el video, N210, cuesta 1746 dólares en el sitio web de Ettus Research, o aproximadamente: $6.200 COP / $1.400.000 CLP / R$ 9.000,00 / MX$34.000,00 (valores convertidos en el propio sitio web de la empresa en febrero de 2016).

Y también está el modelo N200, 89% más barato, que puede usarse para las mismas funciones, además de modelos más poderosos o portátiles por precios más elevados. Las radios definidas por software son una tecnología con un enorme potencial para las redes mesh, investigación y experimentación con la radio y para el mercado de internet de las cosas, por lo que se espera que el acceso a estos componentes se amplíe drásticamente: versiones más livianas de estos equipos ya fueron hasta distribuidas como obsequio en un campamento hacker del CCC.
Crear cell-site simulators ya se convirtió, literalmente, en un trabajo para la universidad. El profesor Adam Champion, de la Ohio State University, configuró un IMSI catcher con sus alumnos de Seguridad de la Información. El dispositivo, que también es una combinación de un USRP controlado por OpenBTS, no logra atacar redes 3G (“a pesar de que podamos bloquear teléfonos 3G selectivamente”, dice un alumno en la presentación de slides del trabajo).

También hay mucha oferta (y por deducción, demanda) de torres falsas en el mercado negro. Según un informe de febrero de 2014 de Trend Micro , un conjunto de laptop + radio ya listo para hacer SPAM por mensajes de texto estaba en venta por aproximadamente USD 7400 (RMB 45.000).

Vigilancia masiva

Todo ataque realizado con torres falsas es vigilancia masiva. Aunque una determinada operación sea dirigida a una a una única persona, alcanza de manera colateral a todas las personas dentro del radio de alcance del dispositivo, lo que hace que los datos que pueden identificarlas y/o a sus mensajes y llamadas pasen por él. “Es como si forzaran las puertas de 50 casas y las revisaran todas porque no saben dónde está el bandido”, dice Christopher Soghoian, director de tecnología de la American Civil Liberties Union (ACLU).
La abogada y activista Dia Kayalli, durante la presentación de su proyecto Street Level Surveillance con EFF, en el 32C3 :

[Si la policía] tiene un sospechoso y está tratando de determinar qué teléfono está usando, o sea, conoce al sospechoso y no sabe su número o IMSI, entonces conecta la torre falsa en áreas donde sabe que el sospechoso puede estar; hace eso diversas veces y captura los datos de todas las personas en el área y entonces los filtra para encontrar el número que aparece repetidamente. Entonces, por sus propias necesidades, no pueden usar esta tecnología sin capturar las informaciones de todas las personas.

Dia Kayalli hablando acerca de antenas de celulares espías en el 32C3

No existe un antídoto completo

A pesar de que las conexiones 3G implementen cifrado más fuerte que la 2G o las más antiguas, igual pueden contornarse.

Se puede usar un generador de ruido y un amplificador para obstruir la señal de la torre verdadera (como los bloqueadores de señales presentes en las prisiones y, tal vez, en las Olimpíadas de Río) y, de manera predeterminada, un celular utilizará protocolos anteriores si la torre le dice que no entiende los más nuevos. De esta forma, se produce un downgrade en el cifrado y entonces la torre falsa puede hacer su captura.

Además de eso, operadoras con ciertas vulnerabilidades en el protocolo SS7 (que intercomunica las diversas operadoras de telefonía celular en todo el mundo) pueden entregar una copia de la clave de cifrado usada en la comunicación entre el celular y la estación de radio base, como describimos en el artículo “Consultando al espía de bolsillo: vulnerabilidades SS7 y rastreo global” :

Al registrarse en una célula, el celular intercambia claves criptográficas con la estación de radio base. Pero para que pueda transferirse de una célula a otra (al hablar dentro de un coche que circula por una carretera, por ejemplo) sin que la comunicación se interrumpa, la estación de radio base que lo recibe debe obtener las claves que la estación que quedó atrás estaba usando.
Esa transferencia de claves se realiza a través de mensajes SS7, que (adivina…) raramente son bloqueados o filtrados. Esto permite que un adversario físicamente próximo a una persona pueda intervenir una conexión celular-antena, obtener la clave a través de la red SS7, abrir la protección criptográfica y acceder a las llamadas y mensajes.

Incluso la 4G más reciente pudo ser víctima de las torres falsas: un artículo de Computerworld de 2014 lo ejemplifica con el producto VME Dominator (que permite «interceptar, bloquear, seguir, rastrear, grabar y acceder a las comunicaciones») y propagandas de las empresas Martone Radio Technology y SS8. La empresa israelí Rayzone Corp, que vende el cell-site simulator Piraña, afirma que funciona en redes 2G, 3G y 4G. Harris Corporation, que en 2003 comenzó a anunciar su IMSI catcher Stingray para el gobierno federal de los EE. UU., introdujo compatibilidad con interceptación de redes 4G LTE en su producto Hailstorm, que también tiene la capacidad de inyectar malware en los teléfonos.

Detección

Para detectar IMSI catchers, es necesario tener una computadora capaz de conectarse a la red GSM y un software que logre detectar anomalías en la red, como que se ofrezca un protocolo sin cifrado por parte de una antena que ya se conectó de forma cifrada, o recibir un SMS vacío o un paging (una parte del handshake en el protocolo) sin que se complete la transacción.

El AIMSICD (Android IMSI Catcher Detector) es una aplicación que funciona en cualquier celular Android y realiza una serie de esas detecciones. Lamentablemente, como la API regular del Android proporciona información limitada sobre la conexión de radio y sobre ciertos comportamientos del módem que indican interferencias sospechosas, hay menos precisión en el análisis y mayor probabilidad de falsos positivos y falsos negativos.

Aplicación AIMSICD

Por su parte, la aplicación SnoopSnitch , desarrollada por SRLabs, usa información de debug que los celulares Android con módem Qualcomm dejan disponibles. Además de necesitar celulares con ese módem específico (hay una lista de dispositivos compatibles), es necesario tener acceso root al teléfono y una ROM Android que tenga el driver del kernel DIAG, necesario para acceder a las informaciones de debug: las versiones stock del Android puestas a disposición por Google lo tienen, pero varias versiones de CyanogenMod no.

A pesar de los requisitos, SnoopSnitch es el detector de mejor costo-beneficio y facilidad de acceso. Una vez instalado, a medida que se usa el teléfono comienza a analizar varios aspectos de la configuración y del comportamiento de las estaciones de radio base a las que se conecta el celular y agrega periódicamente todas las heurísticas en un score. Si pasa de 2,0, la aplicación alerta al usuario y le permite ver los detalles de la torre sospechosa y enviar la información de forma segura al servidor de SRLabs. Ellos estudian y catalogan la calidad de las redes de telefonía y padrones anónimos en todo el mundo en el proyecto GSM Security Map. Según las preguntas frecuentes (FAQ) del proyecto, los falsos positivos “son muy posibles”, pero “eventos con score mayor o igual que 5,0 muy probablemente son catchers reales”.

Entre otros detectores que podemos mencionar se incluyen el CatcherCatcher , basado en el firmware de código libre OsmocomBB y que funciona en un pequeño conjunto de celulares antiguos en el OpenMoko (también se necesita una notebook o un Raspberry Pi para controlar el celular); el Pwnie Express, un dispositivo parecido a un enrutador vendido por una empresa estadounidense y certificado por la Federal Communications Commission; y el CryptoPhone 500 , un smartphone basado en Android, pero con configuraciones avanzadas de seguridad y un buen sistema de detección de interferencias, producido por la GMSK CryptoPhone y usado en la investigación de ESD America que encontró 17 torres falsas en los EE. UU. en julio de 2014.

En un documental para VICE News, el experto Richard Tynan, de Privacy International, encontró indicios de una antena espía en el subterráneo del Parlamento Inglés, usando OsmocomBB.

Prevención

A pesar de que no hay cómo defenderse totalmente de estas herramientas si las utiliza un oponente dedicado y con recursos, algunas prácticas pueden evitar las funciones de inteceptación de los modelos más comunes en el mercado:

• Usar mensajeros cifrados (como el Telegram), preferentemente con cifrado end-to-end / punto a punto / fin a fin (como el Signal y el Whatsapp de Android para Android).
• En el navegador, solo acceder a sitios web críticos y proporcionar datos personales o contraseñas mediante HTTPS.
• Verificar el cifrado realizado entre su aplicación de e-mail y su proveedor: la seguridad de la conexión de entrada (POP3 o IMAP) y salida (SMTP) de mensajes debe realizarse mediante SSL/TLS o STARTTLS.
• Usar una VPN (Virtual Private Network) de confianza garantiza que todo el tráfico del celular (como mensajes, sitios y actualizaciones de software) pase por un «túnel» protegido por criptografía hasta los servidores del proveedor de VPN. El Bitmask, software gratuito y disponible para Android y GNU/Linux, permite usar la VPN gratuita del Riseup o ejecutar su propio servidor. Opciones pagas como Private Internet Access , TunnelBear y muchas otras permiten elegir el país de donde saldrá la conexión entre una gran lista y ofrecen soporte técnico.
• Usar el Tor también protege el tráfico de interceptaciones. Si instalas y activas el Orbot en tu celular, las aplicaciones que saben usarlo (como el navegador Orweb y el Facebook) transmitirán tu información cifrada a través de la red Tor hasta el relay de salida. Es importante que la aplicación ya tenga su propia capa de cifrado, de lo contrario te protegerás de la torre falsa, pero se volverá vulnerable el relay de salida.
• En las configuraciones de red de telefonía, marca la opción de conectarse solamente a redes 4G o 3G, si se ofrecen en tu área. Como vimos, esto no protege contra algunos equipos más modernos de simulación de torre celular, pero impedirá que tu celular se conecte a una torre falsa 2G si la torre verdadera fue bloqueada.
• Usar la versión más reciente de tu sistema operativo e instalar actualizaciones de seguridad del sistema y las aplicaciones con frecuencia, a pesar de que no eliminan el 100% del riesgo de que se inyecte malware en tu dispositivo, ayudan a mantenerlo a salvo de la mayor parte de los intentos.
• Si tu celular Android es compatible con SnoopSnitch, colabora con el proyecto subiendo datos sobre la seguridad de las redes celulares de tu área. El GSM Security Map tiene poca información sobre casi todos los países de América Latina; mapear la seguridad de las diferentes operadoras de cada país es importante para concentrar la presión para hacer que toda la región sea más segura.

De cualquier manera, es posible usar torres falsas para identificar tu número IMSI, o localizarte en la ciudad cuando ya se conoce el IMSI. Como vimos, las generaciones más nuevas también pueden interceptar tráfico 3G o 4G, e incluso usar la conexión forjada para inyectar malware en el celular. Para protegerse de estos riesgos, la única solución garantizada es no usar celulares (algunos prefieren usar tablets sin módem GSM); una buena medida es apagar el teléfono o colocarlo en una bolsa que aísle la señal electromagnética al aproximarse a lugares donde sospeches que pueda haber alguno de esos dispositivos.

Es como matar una cucaracha con una escopeta

Los Cell-site simulators, a pesar de ser muy útiles para investigaciones policiales, tienen efectos colaterales intrínsecos a su funcionamiento que amenazan la privacidad y, a través del efecto desestimulante (“chilling effect”), la libertad de expresión y de asociación de todas las personas en un gran radio de proximidad del blanco.

Debido a las dificultades de detección y atribución de responsabilidades, las personas afectadas por uno de estos aparatos, tanto por la acción policial como criminal, probablemente no recibirán ningún aviso y, si lo recibieran, no tendrán medios para saber si el ataque partió de una demanda legal o si fueron víctimas de un fraude.

En las palabras del especialista en seguridad y cifrado Bruce Schneier, “debemos parar de fingir que su explotación es exclusiva de las fuerzas de la ley y reconocer que estamos todos en riesgo por causa de eso. Si continuamos permitiendo que nuestras redes celulares sean vulnerables a los IMSI catchers, entonces todos estamos vulnerables a cualquier gobierno extranjero, criminal, hacker o hobbista que fabrique uno. Si en lugar de esto construimos nuestras redes celulares de modo que estén seguras contra ese tipo de ataques, entonces todos estaremos a salvo de esas amenazas”.

Lucas Teixeira es un desarrollador y administrador de sistemas e investigador. Actúa como director técnico de la Coding Rights, es editor del Boletín Antivigilancia y uno de los creadores del proyecto Oficina Antivigilancia. Guiado por el espíritu comunitario, tiene experiencia de trabajo en proyectos de colaboración y voluntarios en los temas de la privacidad, libertad de expresión, el software libre, cultura libre y la agroecología. También ha desarrollado metodologías para talleres de formación en seguridad digital, producido y traducido guías y plataformas sobre el mismo tema.

Por Marina Pita, do Instituto Alana | #Boletín17

De a poco, la cultura adultocéntrica empieza a abrir un espacio para la percepción de que Internet y las tecnologías de la información y la comunicación están presentes, y mucho, en las vidas de los niños y los adolescentes. La investigación TIC Kids Online Brasil 2016¹ estima que ocho de cada diez niños y adolescentes con edades entre 9 y 17 años son usuarios de Internet, lo que corresponde a 24,3 millones de personas, casi un cuarto del total de usuarios de Internet del país². De este grupo, el 86% afirmó que tenía perfiles en redes sociales y el 91% dijo que usaba dispositivos móviles.

Pero si los niños y adolescentes ya son una parte significativa de los usuarios de TIC, la creación de productos y servicios diseñados para ellos, considerando su bienestar y su mejor interés, todavía está muy verde. En general, los niños son usuarios de soluciones desarrolladas por adultos, considerando las necesidades de sus pares y de negocios. Considerando eso, no es raro observar que las especificidades de personas en una etapa particular del desarrollo y las necesidades derivadas de esa condición no están presentes en los equipos ni en las plataformas usadas por ese público.

Esa idea de que hoy en día hay cientos de millones de niños y adolescentes usando herramientas de tecnologías de la información y la comunicación inapropiadas, ya sea por falta de conocimiento de los desarolladores o por mala intención de los creadores, es bastante simple, pero tiene un potencial enorme de sensibilizar acerca del desafío que tenemos por delante para garantizar los derechos de este grupo de individuos hipervulnerables. En un mundo cada vez más mediado por tecnologías digitales y orientado por el flujo intenso de datos, ¿cómo asegurar el acceso, minimizar los riesgos y ampliar y democratizar oportunidades sin que todos estén conscientes de esa necesidad y responsabilidad?

Como ejemplo, recientemente madres blogueras y activistas digitales³pusieron en evidencia el papel de estímulo al consumo infantil que algunos influenciadores digitales vienen cumpliendo cuando, en marzo de este año, divulgaron que Felipe Neto, uno de los mayores YouTubers de Brasil, participó de un panel cuyo título era “El lugar de los niños es el supermercado: El poder de compra del público infanto-juvenil”, en un evento promovido por supermercadistas. A continuación, una serie de madres, padres y responsables salieron del armario⁴ para decir que los videos online estimularon a los niños a adoptar comportamientos extraños, como querer consumir productos alimenticios de valor nutritivo dudoso, y de pedir más y más juguetes después de ver videos en los que se desembalan y exploran juguetes, los llamados videos de unboxing⁵.

La exposición de niños y adolescentes a la publicidad en Internet realmente merece atención. La investigación TIC Kids Online muestra que, en 2016, a pesar de que la televisión siga siendo el principal medio de exposición a la publicidad o la propaganda (80%), creció el porcentaje de usuarios de Internet de 11 a 17 años que tuvieron contacto con contenido mercadológico en sitios de video, que alcanzó el 69%.

Y el tema viene generando un cierto movimiento. Recientemente, Facebook anunció en los Estados Unidos una nueva política para la publicidad de accesorios de armas, que prohíbe su exposición a personas menores de 18 años.⁶.

Pero la cuestión central todavía está en la publicidad camuflada, que si se la considera abusiva e ilegal cuando se la dirige a adultos, todavía es más inaceptable cuando el blanco son los niños, muchas veces incapaces de diferenciar el contenido de la comunicación mercadológica y aún inmaduras para analizar críticamente su caracter persuasivo.

“La creciente popularidad de los niños YouTubers entre su audiencia y el impacto que ejercen entre sus pares, por medio de la construcción de una relación de proximidad e intimidad, atrajeron la atención del mercado, que ve ese espacio como facilitador de la publicidad dirigida al público infantil. Diversas empresas, aprovechándose de la hipervulnerabilidad, tanto del niño YouTuber, como del niño espectador, empezaron a mandarles sus productos a esos influenciadores digitales para que ellos los desembalen, los presenten, los prueben y los divulguen en sus redes sociales”, afirma la abogada del programa El niño y el consumo, de Alana, Livia Cataruzzi⁷.

En los Estados Unidos, la práctica de la publicidad camuflada en redes sociales viene generando una preocupación creciente en la Federal Trade Comission. En abril de 2017, este organismo envió, con fines educativos, más de 90 cartas a propietarios de perfiles y anunciantes recordándoles que, al divulgar productos y/o servicios, deben hacerlo de manera clara e inequívoca⁸.

Pero en el caso de los niños, dejar en evidencia que determinado contenido es publicitario no es suficiente. Es preciso impedir la publicidad orientada a ese público, en conformidad con la legislación. Dirigir publicidad a personas de menos de 12 años está prohibido, ya que eso busca aprovecharse de la peculiar condición de desarrollo del niño para persuadirlo a que consuma. En el caso brasileño, la comprensión se desprende de una lectura sistemática de los dispuesto en el artículo 227 de la Constitución Federal de 1998, en el Estatuto del Niño y el Adolescente (Ley n° 8096/1990) y, especialmente, en el artículo 37, sección 2ª del Código de Defensa del Consumidor (Ley n° 8078/1990), que caracteriza como abusiva la publicidad que «se aproveche de la insuficiencia de juicio y experiencia de un niño”.

El fin de las prácticas de acoso y explotación comercial de los niños mediante publicidad dirigida a ellos es algo que debe conquistarse urgentemente. Pero en el contexto actual de desarrollo tecnológico y socioeconómico, la explotación comercial de los niños y los adolescentes en el ambiente online puede darse también a partir de la recolección y tratamiento de datos personales. Es necesario garantizar que niños, niñas y adolescentes tengan acceso al conocimiento y información, lo que hoy día significa acceso al Internet. Pero, para que no se violen los derechos a la privacidad y al libre desarollo de la personalidad, este acceso no puede estar condicionado a la lógica predatoria de la recolección de datos, con riesgo potencial a la seguridad y con efectos sobre el derecho a la privacidad, al desarrollo sano y a la libertad.

Es injusto, antiético e ilegal que el derecho de los niños y los adolescentes al desarrollo libre de la personalidad pueda cercenarse usando sus rastros digitales. Tampoco es razonable que sus horizontes sean limitados por lo que parecen decir esos datos acerca de lo que ya conocen, les gusta y buscan en línea. Es necesario garantizar que la infancia y la adolescencia no sean encuadradas y clasificadas por modelos artificiales y algorítmicos opacos, que puedan afectar su acceso a servicios como la salud y la educación, o incluso a oportunidades sociales y personales.

Todavía estamos en los comienzos de la sociedad orientada por los datos digitales y las soluciones de Inteligencia Artificial recién están empezando, de modo que el principio de la preocupación es el mejor método para evitar efectos perversos del uso de rastros digitales por niños y adolescentes, con implicaciones presentes y futuras.

Marina Pita es periodista, especializada en tecnologías de información y comunicación. Actualmente es periodista de protección de datos en el programa Prioridad Absoluta, de Alana.

Por Verónica Ferrari, colectiva Acoso.Online | #Boletín17

El término sexting (o sexteo, en español), dice danah boyd, surge originalmente para referirse al acto de compartir imágenes explícitamente sexuales a través de mensajes de texto. Ahora, sexteo es equivalente a enviar y/o recibir fotos y/o vídeos sexuales a través de cualquier medio digital. La investigadora Amy Hasinoff que hace un análisis crítico de cómo se ha abordado el tema de sexting -fundamentalmente en Estados Unidos- dice que tanto los medios de comunicación como legisladores y encargados de hacer políticas públicas han generado una suerte de pańico con respecto a esta práctica. Y, en particular, cuando las que sextean son adolescentes mujeres. A contramano de este sexting panic, Hasinoff dice que el sexteo tiene que ser pensado como un tema de consentimiento y privacidad.

El derecho a la privacidad aparece reconocido en distintos instrumentos internacionales. UNICEF, en un trabajo sobre derechos digitales de niñas y niños señala que, por un lado, la privacidad tiene que ver con la capacidad de las personas de tomar decisiones de manera autónoma. Luego, dice UNICEF, tenemos la privacidad informacional, más vinculada a la protección de nuestros datos e información personal. Por último, aparece la privacidad vinculada a la protección de nuestra integridad física y, entre otras cosas, de nuestra vida sexual. En el sexteo se ponen en juego todas estas dimensiones de la privacidad.

Si la otra clave para pensar el sexteo tiene que ver el consentimiento, es muy importante distinguir entre sexting como de expresión de la sexualidad y la distribución sin consentimiento de imágenes sexuales o de tono erótico (también llamada “pornografía no consentida”). Esta última es una forma de violencia en línea que busca humillar y/o extorsionar a la víctima -generalmente, mujeres y adolescentes. No diferenciar estas dos prácticas puede llevar, siguiendo a Hasinoff, al pánico por parte de los responsables de buscar soluciones.

Pero ¿qué deberían hacer legisladores y hacedores de políticas, educadores y plataformas con respecto al sexteo? Como decíamos, no diferenciar entre sexteo y pornografía no consentida puede llevar a medidas sobreprotectores que desincentivan el ejercicio del sexteo. Por ejemplo, la campaña “Pensar antes de sextear” en México -según una encuesta el país en América Latina en el que más sextean los y las adolescentes– llevada adelante por organismos públicos y por Google, entre otros, es un ejemplo de discurso prohibitivo y que vincula el sexteo con un delito.

Pero los Estados sí tienen la obligación de respetar, proteger y garantizar la privacidad, la expresión y la integridad de las y los adolescentes. Así lo marcan, entre otros instrumentos, la Convención Americana de Derechos Humanos, la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer y la Convención Internacional sobre los Derechos del Niño y de la Niña (que considera niño o niña toda persona menor de 18 años). La distribución de imágenes sexuales sin consentimiento en tanto forma de violencia atenta contra estos derechos y, por ende, los Estados tienen el deber de hacer algo al respecto -sin usar esto como excusa para censurar contenidos legítimos en internet, claro.

Y las plataformas digitales a través de las que se comparten, difunden y publican estos contenidos, también tienen responsabilidad con respecto a los derechos humanos de sus usuarias y usuarios. Deben, por lo tanto, considerar los riesgos, impactos y posibles vulneraciones para los derechos humanos e implementar acciones para reducir y mitigar esos riesgos.

No hay una solución única para lidiar con las complejidades de este tema y, más todavía cuando hay menores involucradas. Desde Acoso.Online, un proyecto que busca dar respuesta y herramientas útiles a mujeres y adolescentes víctimas de la publicación no consentida de imágenes sexuales y que viven en América Latina, proponemos un abordaje que contempla cuatro ejes:

• Las respuestas del Estado. Como dijimos, las políticas y acciones sobre el sexteo no deben ir por la vía de la prohibición, la criminalización o la sobreprotección que desestima la elección de las adolescentes. Pero sí es clave que los Estados implementen acciones contra la pornografía no consentida en tanto forma de violencia de género en línea y conducta que afecta los derechos humanos. Estas respuestas, además, tienen que estar basadas en datos y en evidencia (la investigación y las estadísticas sobre este tema son todavía escasas en la región) y elaboradas de forma tal que no ocasionen censura en línea.

• Las políticas del sector privado. Las plataformas privadas de Internet no tienen una fórmula clara o solución ideal para abordar las complejidades del sexteo y las imágenes de desnudez y sexuales en sus términos y condiciones. Y esto se complejiza cuando hay menores involucradas. Pero la industria, creemos en Acoso.Online, debe responder a sus usuarios y usuarias poniendo en práctica medidas para reducir los riesgos a sus derechos humanos. En la actualidad, hay herramientas específicas para denunciar estos contenidos ante las plataformas, pero queda aún mucho por hacer, por ejemplo, en términos de campañas educacionales y de alerta que tengan una mirada acorde con las realidades de las adolescentes y que no repita patrones de género conservadores.

• Las respuestas de nuestras comunidades. La difusión de pornografía no consentida en tanto es una forma de violencia en línea no debe ser tolerada. Es necesario proteger a la víctima, no culpabilizarla, así como abrir instancias de diálogo en instituciones educativas sobre violencia de género y, en particular, sobre pornografía no consentida. Las y los educadores deberían trabajar para fortalecer la capacidad de adolescentes para que, de manera voluntaria, puedan consentir o rechazar el sexteo, como cualquier otra práctica sexual.

• Seguridad digital y relación crítica con la tecnología. Por último, es clave para las adolescentes tomar control de las tecnologías digitales que usan y de su información en ellas. Para esto, se pueden usar aplicaciones que brindan una mayor seguridad, usar contraseñas fuertes y cifrado, anonimizar las fotos íntimas, entre otras.

En conclusión, se trata de correr el eje y dejar de preocuparse por el sexteo como problema moral. Las soluciones deben tender a fortalecer la privacidad de las y los adolescentes en entornos digitales y su capacidad de decidir y consentir. No en prohibir. Y ocuparse, sí, de la difusión no consentida de imágenes sexuales como un tema de política pública en tanto afecta derechos fundamentales.

Verónica Ferrari: investigadora y consultora en temas de políticas digitales, derechos humanos, tecnología y género. Actualmente, y entre otras cosas, coordina los contenidos legales y judiciales de Acoso.Online.

Por Belén Giménez, TEDIC, Paraguay | #Boletín17

En Paraguay, la disminución de la brecha digital alrededor del país es uno de los desafíos latentes que el país busca abordar con éxito, ya que la disminución de dicha brecha forma parte de los objetivos que se deben cumplir para avanzar hacia un desarrollo más integral e inclusivo. Abordar este desafío es de suma importancia, ya que no es un hecho o fenómeno independiente; es un reflejo de las desigualdades socio económicas existentes, y pone a aquellos que no poseen los recursos ni las habilidades tecnológicas necesarias para competir contra una situación que no sólo incrementa su marginación socio económica, sino que también la replica en el ecosistema digital.

Existen iniciativas que apuntan a promover el acceso a Internet con el objetivo de disminuir la brecha digital y promover el desarrollo del país. En Paraguay, entes gubernamentales como la Secretaría Nacional de Tecnologías para la Información y Comunicación (SENATICs) con sus Infocentros, así como también las empresas de telecomunicaciones tales como Tigo y Claro con sus telecentros comunitarios, están haciendo un esfuerzo para implementar programas que promuevan el acceso a Internet en espacios que propicien la Alfabetización Digital y el Acceso a la Información. Dichos programas apuntan a disminuir la brecha digital en distintas áreas de todo el país, pero se encuentran en su mayoría con sus instalaciones alrededor de espacios públicos tanto en el centro de Asunción, como en espacios aledaños a comunidades vulnerables, como el Bañado Sur y la Chacarita. De dichas zonas, los que utilizan estos espacios con más frecuencia son las y los niños de un rango de 9 a 14 años, en su mayoría de escasos recursos y parte de un estrato socio económico bajo.

Un estudio exploratorio -realizado en el 2016 de manera conjunta por Global Infancia y UNICEF- reconoció la importancia de “contar con datos actualizados que permitan conocer, percibir, y dimensionar el uso que los niños, niñas y adolescentes tienen con respecto a las TICs” a manera de aportar en la construcción de políticas públicas que puedan incidir en la falta de protección integral e inclusión social en el ecosistema digital. En este estudio, 1.076 niños, niñas y adolescentes de nueve a 17 años pertenecientes a 20 escuelas y colegios públicos y privados de la capital y de tres Departamentos del país (Central, Caaguazú y Cordillera) completaron un cuestionario de manera voluntaria. Una de las dimensiones de este último fue sobre los usos y costumbres en TICs, e identificó que el perfil de uso de las y los niños y adolescentes está enfocado hacia actividades sociales, de ocio y educativas, siendo predominante el uso de redes sociales, ver videos y escuchar música en Youtube, contactar con familiares y amistades, así como también la realización de tareas para la escuela o colegio. Este estudio tuvo como sujetos a niños y adolescentes que tenían acceso a Internet móvil y a través de computadoras personales, ya sean de propiedad propia o pertenecientes a un miembro de la familia.

De las observaciones realizadas en cuanto al comportamiento de las y los chicos y el uso de Internet a través de las TICs (Tecnologías de la Información y Comunicación), se pueden percibir patrones de uso que difieren de acuerdo con el nivel y frecuencia de acceso a la misma, las cuales se encuentran fuertemente relacionadas con el estrato socioeconómico. A pesar de contar con espacios públicos que proveen acceso a Internet y a la información de manera gratuita, las y los niños de un estrato socioeconómico bajo poseen un contacto con las TICs mucho más limitado que aquellos pertenecientes a estratos sociales más elevados, y un patrón de consumo de contenidos mucho más descuidado. Esto no solamente se debe a que muchas veces la supervisión dentro de estos espacios no es la suficiente o la adecuada para el contexto; también se debe a que, al no contar con la misma frecuencia y consistencia de acceso y uso de Internet, no cuentan con el mismo espacio de oportunidad para desarrollar habilidades que les permitan navegar el ecosistema digital de manera segura y ágil, en comparación a niños y niñas pertenecientes a estratos socio económicos más altos.

En los centros comunitarios de acceso a la información, los cuales son utilizados en su mayoría por grupos que no tienen accesos ni dispositivos propios con conexión a Internet, el perfil de conexión es similar en comparación a aquellos que tengan un acceso más frecuente a Internet en cuanto al uso de algunas plataformas. G. T., quien ejerció el rol de dinamizador en estos espacios, nos comentó sobre las dinámicas digitales observadas durante todo el 2017 relacionadas al uso de Internet de parte de las y los niños y adolescentes de comunidades vulnerables pertenecientes a la zona de la capital. Mientras que las instancias de uso de Internet con propósitos escolares eran prácticamente nulas, los comportamientos de búsqueda y uso más predominantes dentro de estos espacios fueron los de plataformas de juegos online (juegos alojados en sitios web), visualización de videos en Youtube y Facebook.

Uso de plataformas de juegos online

“Los niños quieren jugar. Ingresan a sitios de juegos que están llenos de anuncios, y como ellos no saben diferenciar entre un anuncio y la imagen de un juego ¿a qué crees que le dan clic? Al anuncio, y de ahí se van «paseando» de sitio en sitio buscando el videojuego que nunca llegó. Lo peligroso de eso, además del riesgo de que el equipo se infecte con algún virus, es que terminen en un sitio pornográfico.”

Dentro de cada comportamiento de búsqueda y uso, las y los niños presentaban dinámicas de navegación que demostraban su poco conocimiento sobre seguridad digital. Al buscar sitios web con fines de ocio, en su mayoría de juegos online y al encontrarse con distintos estímulos (links a través de íconos o textos llamativos) tanto de juegos a los cuales sí iban a tener acceso, así como a íconos que simulaban ser juegos, elegían hacer clic a los últimos. Estos íconos, que en realidad eran anuncios, spam, o incluso oportunidades de phishing y/o descarga de paquetes de virus maliciosos, ponían en riesgo no solo al rendimiento y estado de las máquinas dentro de estos espacios, sino también a los datos personales extraídos de los clics realizados a esta clase de sitios.

A pesar de la explicación constante dada por dinamizadores como G. T.. para evitar dichas situaciones en el futuro, se encontraron con que estos niños y niñas no parecían distinguir ni tampoco asimilar los riesgos que implicaban hacer uso de sitios web (y de hacer clic en anuncios maliciosos) que ponían en peligro a las máquinas utilizadas de la sala. El grado de curiosidad de las y los niños, y la falsa promesa de tener acceso a juegos de alta gama (que usualmente son pagos y no otorgan acceso a través de páginas de uso gratuito), presentaban obstáculos muy grandes a la hora de poner en práctica un uso más racional e inteligente de Internet. Además, debido al índole público del lugar y de la limitada cantidad de espacio y computadoras (alrededor de cinco o seis en cada centro), usualmente contaban con sólo un máximo de una hora de uso, para luego dar lugar a otros, lo que significaba que, al no contar con el tiempo necesario para satisfacer su curiosidad y ganas de exploración, era difícil llegar a un punto de uso de las TICs más racional y ágil que les ayude a distinguir los riesgos al navegar en estas páginas.

Videos en Youtube

“Niños con acceso frecuente y supervisión ya saben que videos no van acorde a su edad, o directamente sus equipos tienen filtros. Los niños sin acceso frecuente no. Y el tipo de videos que mayormente terminan viendo son de reggaetón cuyo contenido es erótico, novelas de contenido erótico y violento, películas de terror…”

Según las observaciones realizadas por G. T. durante todo el 2017, la clase de contenidos consumidos pertenecían a categorías de videos de lucha, episodios de distintas telenovelas para adultos, videos musicales de cantantes actuales de reggaetón, episodios violentos de animé y películas de terror, que en su mayoría presentaban escenas muy grotescas, con mucha violencia. Consumían, además, videos de youtubers que muchas veces terminaban siendo su fuente primaria de información sobre el mundo, y que en su mayoría fomentaban una cultura de consumo capitalista e individualista que incluso llegaban a inducir la idea de que más allá de la educación, la posesión de bienes materiales influye fuertemente en el estatus social de uno.

Este patrón también es observado en niños y niñas que cuentan con un mayor y frecuente acceso a Internet. Pero según G. T., la diferencia radica en que existe una supervisión mayor para ellos, tanto de sus padres como de su entorno social, lo cual los ayuda a desarrollar una conciencia de consumo que les hace más capaz de construir una identidad digital con patrones de uso más reflexivos.

Uso de Facebook

“Creo que ni siquiera saben que existe inseguridad en las redes sociales. Aceptan, agregan o siguen a cualquier persona desconocida, e interactúan con ellos. Ellos cuentan TODO, pero también mienten”.

Niños y niñas a partir de seis años ya cuentan con perfiles en Facebook, lo que significa que mienten diciendo que tienen 13 o más años para poder crearse una cuenta. Lo mismo lo hacen para una cuenta de correo, cosa que necesitan para tener un perfil. Las solicitudes de amistad tanto recibidas como enviadas a gente extraña fueron patrones de comportamiento vistos en estos espacios por G. T., así como también la constante interacción por mensajes con gente la cual nunca habían conocido en persona.

A diferencia de niños y niñas de otros grupos socioeconómicos, en comunidades vulnerables no parecen contar con un ambiente sociocultural que les ayude a dimensionar los riesgos que existen sobre su identidad digital a la hora de realizar este tipo de interacciones. Algo que para ellos puede llegar a ser esporádico y sin tanta importancia, como una interacción por mensaje, puede representar un peligro debido a la exposición a posibles instancias de acoso, hackeo, violencia, entre otros.

¿Qué reflejan estos comportamientos?

El uso descuidado de juegos en línea, consumo de videos y de conexión a redes sociales son comportamientos que reflejan el desequilibrio existente en cuanto al acceso físico a la tecnología y la carencia de habilidades necesarias para hacer uso del Internet de manera racional, consciente y segura. Aunque existan iniciativas de provisión de acceso a Internet como las mencionadas, eso no significa que el simple acceso sea efectivo, en tanto siguen estando en un estado de marginación que les impide acoplarse a las necesidades de manejar la tecnología para resolver problemas reales y para ejercer una ciudadanía digital efectiva.

El desafío de disminuir la brecha digital sigue latente de parte de los gobiernos y otras instituciones claves, pero por ende también se debe abarcar y aceptar el desafío de desarrollar soluciones y servicios que se adecuen a las condiciones socioeconómicas y culturales particulares del contexto. Esto significa que la brecha digital debería abordarse a través de un proceso que tome en cuenta estos patrones de comportamiento de uso que fueron observados para así proveer un currículum de alfabetización digital que se adapte al contexto del cual las y los niños vienen. Que se adapte a las necesidades de explorar y de satisfacer la curiosidad dentro de ellas y ellos, para así poder avanzar a una etapa en la cual puedan hacer uso de Internet de una manera más ágil, consciente y segura, y que de manera construccionista puedan ir incorporando hábitos de uso seguro que les permita no solamente disminuir la brecha digital, sino también alejarse de ese estado de marginación en el que se encuentran.

Belén Giménez es asistente de proyectos en TEDIC, ONG que defiende los derechos digitales en Paraguay. Es psicóloga con énfasis en las áreas de interacción humana con la tecnología y ciberpsicología.

Por Mariel García Montes, Centro de Medios Cívicos de MIT | #Boletín17

En un mundo en el que el término “colaboración” se ha vuelto una promesa vacía en solicitudes de fondos, a pocos les sorprende que entre los mundos de los derechos de las juventudes y los derechos digitales pueda haber más tensiones que colaboraciones. La postal que mejor describe estas tensiones es el Foro de Gobernanza de Internet (FGI o IGF en inglés). Los actores más influyentes en temas de juventudes y tecnología están ahí con sus sesiones de protección de niños y niñas en línea, y también están las organizaciones de libertad de expresión más grandes con sus sesiones de derechos humanos e internet. Cuando participé en 2015 como becaria de Youth@IGF, fui a los dos tipos de sesiones y no encontré a muchas otras personas en la misma situación. Sigo hoy buscando a las personas interesadas en lo que otros han descrito como las dos caras de la misma moneda, el agua y el aceite del FGI.

Y es que siempre se expresa como una dicotomía. Una internet que proteja los derechos de las juventudes o una donde todas las personas vivamos libres de vigilancia. Una internet en la que las juventudes puedan acceder a contenidos de calidad y adecuados a su etapa de desarrollo, o una en la que todas las personas podamos expresarnos libremente. Desde inicios de la década de 2000, distintas investigaciones de comunicación y juventudes documentaron este antagonismo entre los movimientos de protección de juventudes en línea y de derechos digitales.

¿Pero qué implicaciones tiene para el trabajo de sociedad civil, para el mercado, para las regulaciones, e inclusive para la infraestructura, que desde el lenguaje nos forcemos a escoger entre juventudes o adultos? ¿Quién se beneficia de este marco de oposiciones?

Como personas adultas, cuando nos referimos a temas relacionados con juventudes y privacidad, a menudo decimos cosas que niegan a las y los jóvenes las posibilidades de ser sujetos de derechos actuales y no sólo en potencia, de agencia. De manera poco útil, al mismo tiempo, nos referimos a los riesgos que enfrentan, por un lado, como si supiéramos todo lo necesario y ya los hubiéramos superado o, por otro, como si fueran riesgos que no alcanzamos siquiera a entender. Lo peor, pienso yo, es que nuestras opiniones nos ponen en un lado que culpa a las víctimas, por ejemplo, de escándalos de sexting; como si sus decisiones individuales pesaran más que las de las personas que cargan la responsabilidad colectiva alrededor de ellas. Nuestro sistema de discriminación en función de género, clase social y edad ha contribuido también en la formación de nuestras visiones sobre juventudes y privacidad.

En pocas palabras: nuestro discurso adulto sobre el tema dice más cosas sobre nosotros como adultos que sobre las juventudes, y no son buenas. Sin embargo, hay grupos que hoy en América Latina trabajan por cambiar esta realidad e incluir las perspectivas de juventudes en su trabajo en la defensa del derecho a la privacidad. Éste ha sido mi tema de investigación en los últimos dos años, en los que he llevado a cabo un estudio con dieciocho grupos en el continente (trece en América Latina) que trabajan en los campos de derechos digitales, protección de datos personales, antivigilancia y desarrollo juvenil.

Se trata de organizaciones locales, colectivos, cooperativas, centros de investigación académica, organizaciones internacionales y redes de padres que trabajan en educación informal, campañas y materiales de comunicaciones, litigio estratégico, investigación, operaciones de líneas de ayuda y promoción de la colaboración multisectorial. Son organizaciones que no aparecerían en un buscador con los términos “juventudes y privacidad”; sus audiencias, fuentes de financiamiento e historias institucionales les hacen reconocerse en campos distintos, desde “uso responsable de las TIC” y “ciudadanía digital” hasta “prevención de riesgos” y “equidad”.

En mis conversaciones con estos grupos han salido a flote las tensiones sobre las maneras con las que hemos abordado temas de juventudes y privacidad: el uso de pedagogías que promueven crítica de medios y aprendizaje social-emocional contra las que promueven vigilancia y control adulto; el marco de las juventudes como sujetos de derechos sólo en potencia o como sujetos de derechos hoy; visiones del riesgo en línea; agencia juvenil contra protección juvenil; las complicaciones en discusiones sobre consentimiento; las campañas de miedo contra las de empoderamiento.

De manera más esperanzadora, también ha salido una lista de las características que definen su trabajo en resistencia de opresiones: su compromiso con el diseño y procesos participativos, como los talleres creativos de Faro Digital y su célebre campaña “Sexteá con la cabeza”, que da una respuesta al discurso de abstinencia que ha dominado el campo de adolescencia, sexualidad y tecnología. Estas organizaciones trabajan para cerrar las brechas intergeneracionales, como los conversatorios que hace Pensamiento Colectivo en Uruguay para que jóvenes entiendan a adultos y viceversa. Destaca también la presencia en los espacios de convivencia juvenil, como Hiperderecho en Perú con su Liga Juvenil de estudiantes universitario inspirada en LibreBus; y su innovación al contar historias con materiales que van desde videojuegos (como el de Artículo 12 en México) y juegos de mesa (de Sulá Batsú en Costa Rica), hasta experiencias teatrales con chatbots (Projeto Caretas de Unicef Brasil).

Comparto más de esta investigación en una serie de blog posts que estoy publicando en el blog de mi centro de investigación, el Centro de Medios Cívicos de MIT; en específico, detalles sobre estas organizaciones: sus audiencias y colaboraciones, los temas que cubren en sus esfuerzos educativos, y las rutas críticas que ven en su desarrollo institucional. En mi proyecto de tesis pongo todos estos hallazgos en conversación con teoría sobre privacidad, estudios sobre vigilancia y desarrollo juvenil.

Y, sin embargo, a mis veintiocho años, mi investigación es un documento más sobre jóvenes escrito por una persona que ya no es tan joven. Y las metodologías y acciones que llevan a cabo las organizaciones que participaron en este proceso reciben pocos insumos de adolescentes. Espero que esto sea algo que cambiemos en el futuro cercano. En lo personal, pensar sobre la intersección entre juventudes, privacidad y tecnología para buscar nuestros puntos ciegos y ventanas de oportunidad me inspira a trabajar más para reformar el discurso sobre tecnología y sociedad para incluir a las comunidades que han sido marginadas de él, no sólo por raza, clase o género, sino también por edad.

Mariel García Montes actualmente estudia e investiga sobre juventud, medios de comunicación, educación cívica / moral y alfabetización digital en el «Center for Civic Media and Comparative Media Studies» del MIT.