A medida que la verdad que rompe los patrones de nuestras nuevas vidas se agota, a medida que el coronavirus desgarra las rutinas, ataca nuestro bienestar y nos agita entre la ansiedad y el miedo, no debemos mirar a la vigilancia digital masiva para volver a la normalidad.
Los gobiernos ya han lanzado grandes redes digitales . Los surcoreanos son rastreados a través del historial de ubicación de GPS, transacciones de tarjetas de crédito y filmaciones de cámaras de vigilancia. Los israelíes supieron el mes pasado que sus ubicaciones de dispositivos móviles fueron recolectadas subrepticiamente durante años. Ahora, el gobierno hurga en esta enorme base de datos a plena luz del día, esta vez para rastrear la propagación de COVID-19. Los rusos no pueden salir de casa en algunas regiones sin escanear códigos QR que restringen el tiempo que pasan afuera: tres horas para comprar comestibles, una hora para pasear al perro, la mitad para sacar la basura.
Los defensores de la privacidad en todo el mundo han dado la voz de alarma. Este mes, más de 100 organizaciones de derechos civiles y digitales instaron a que los mecanismos de vigilancia dirigidos a los coronavirus de cualquier gobierno respeten los derechos humanos. Los grupos, que incluían Privacy International, Human Rights Watch, Open Rights Group y la organización sin fines de lucro chilena Derechos Digitales, escribieron en una carta conjunta :
“La tecnología puede y debe desempeñar un papel importante durante este esfuerzo para salvar vidas, como difundir mensajes de salud pública y aumentar el acceso a la atención médica. Sin embargo, un aumento en los poderes estatales de vigilancia digital, como la obtención de acceso a los datos de ubicación de los teléfonos móviles, amenaza la privacidad, la libertad de expresión y la libertad de asociación, en formas que podrían violar los derechos y degradar la confianza en las autoridades públicas, socavando la efectividad de cualquier público respuesta de salud «.
Los grupos tienen razón en preocuparse.
Particularmente en los Estados Unidos, la historia de vigilancia de emergencia habilitada en nuestro país no ha respetado el derecho de los estadounidenses a la privacidad y no ha brindado una mayor seguridad medible. La autorización de vigilancia rápida en los EE. UU. No solo permitió la recopilación, en un momento dado, de casi todos los registros detallados de llamadas de los estadounidenses, sino que también creó un programa gubernamental difícil de manejar que dos décadas después se volvió ineficaz, económicamente costoso y repetidamente incumplido por la ley .
Además, algunas de las propuestas actuales de seguimiento de la tecnología, incluidas las capacidades Bluetooth recientemente anunciadas por Apple y Google, carecen de la evidencia para demostrar su eficacia o requieren un grado de adopción masiva que ningún país ha demostrado que sea posible. Otras propuestas privadas también provienen de actores no confiables.
Finalmente, las soluciones centradas en la tecnología no pueden por sí solas llenar brechas físicas severas, incluida la falta de equipo de protección personal para profesionales médicos, pruebas universales inexistentes y una selección potencialmente fatal de camas de unidades de cuidados intensivos que quedan para sobrevivir a un brote en todo el país.
Entendemos cómo se siente hoy. En menos de un mes, el mundo se ha vaciado. Iglesias, aulas, teatros y restaurantes yacían vacíos, a veces cerrados por tablones de madera sujetos a las puertas. Lamentamos la pérdida de familiares y amigos, de 17 millones de empleos estadounidenses y los beneficios de atención médica que proporcionaron, de redes nacionales de apoyo en persona desplazadas al ciberespacio, donde el tipo de vulnerabilidad para una sala física ahora está en línea .
Durante un tiempo aparentemente interminable en casa, nos acurrucamos y esperamos, vaciados de todos modos.
Pero la vigilancia masiva y digital por sí sola no nos hará completos.
Los gobiernos amplían la vigilancia para rastrear el coronavirus
Detectado por primera vez a fines de 2019 en la provincia china de Hubei, COVID-19 ahora se ha extendido por todos los continentes, excepto la Antártida.
Para limitar la propagación del virus y prevenir sistemas de salud sobrecargados, los gobiernos impusieron una variedad de restricciones físicas. California cerró todos los negocios no esenciales, Irlanda restringió el ejercicio al aire libre a 1.2 millas de distancia de su hogar, El Salvador colocó cuarentenas de 30 días a los salvadoreños que ingresan al país desde el extranjero, y Túnez impuso un horario nocturno de 6:00 p.m. a 6:00 a.m. toque de queda.
Un puñado de gobiernos tomó medidas digitales, aspirando los datos de los teléfonos celulares de los ciudadanos, a veces incluyendo su historial de ubicación aproximada.
El mes pasado, Israel desabotonó un programa de vigilancia que alguna vez fue secreto, lo que le permitió acceder a los teléfonos móviles de los israelíes no para proporcionar medidas contra el terrorismo, como se reservaba anteriormente, sino para rastrear la propagación de COVID-19 . El gobierno planea usar los datos de ubicación del teléfono celular que había estado recolectando de manera privada de los proveedores de telecomunicaciones para enviar mensajes de texto a los propietarios de dispositivos que potencialmente entren en contacto con los proveedores de coronavirus conocidos. Según The New York Times, el subcomité parlamentario destinado a aprobar las restricciones relajadas del programa en realidad nunca votó .
La región italiana de Lombardía, que, hasta hace poco, sufrió la mayor ola de coronavirus fuera de China, está trabajando con una importante empresa de telecomunicaciones para analizar los datos de ubicación de teléfonos celulares anonimizados para comprender si las medidas de bloqueo físico están demostrando ser eficaces para combatir el virus. El gobierno austriaco está haciendo lo mismo . Del mismo modo, el gobierno paquistaní depende de la información de ubicación proporcionada por el proveedor para enviar mensajes SMS específicos a cualquier persona que haya entrado en contacto físico cercano con pacientes confirmados de coronavirus. El programa solo puede ser tan efectivo como grande, ya que requiere datos sobre grandes extensiones de población del país.
En Singapur, el gobierno del país publica información extremadamente detallada sobre pacientes con coronavirus en su sitio web público del Ministerio de Salud. Las edades, los lugares de trabajo, las direcciones de los lugares de trabajo, el historial de viajes, las ubicaciones de los hospitales y las calles residenciales se pueden encontrar con un simple clic.
La estrategia de detección de coronavirus de Singapur también incluyó un componente clave separado.
El mes pasado, el gobierno lanzó una nueva aplicación móvil voluntaria para que los ciudadanos la descarguen llamada TraceTogether. La aplicación se basa en las señales de Bluetooth para detectar cuando un paciente confirmado de coronavirus se acerca físicamente a los propietarios de dispositivos que usan la misma aplicación. Es esencialmente un enfoque de alta tecnología para el trabajo de detective de baja tecnología de «rastreo de contactos», en el que los expertos médicos entrevistan a las personas con enfermedades infecciosas y determinan con quién hablaron, qué lugares visitaron y qué actividades realizaron durante varios días antes de presentar síntomas.
Estos ejemplos de mayor vigilancia y seguimiento del gobierno están lejos de ser excepcionales.
Según un análisis de Privacy International, al menos 23 países han implementado alguna forma de seguimiento de telecomunicaciones para limitar la propagación del coronavirus, mientras que 14 países están desarrollando o ya han desarrollado sus propias aplicaciones móviles, incluidas Brasil e Islandia , junto con Alemania y Croacia, que intentan crear aplicaciones compatibles con GDPR .
Mientras que algunos países han confiado en los proveedores de telecomunicaciones para suministrar datos, otros están trabajando con actores privados mucho más cuestionables.
La vigilancia rápida exige una infraestructura rápida e inestable
El mes pasado, el impulso para rastrear digitalmente la propagación del coronavirus provino no solo de los gobiernos, sino de las compañías que construyen tecnología potencialmente invasiva de la privacidad.
La semana pasada, Apple y Google anunciaron un esfuerzo conjunto para proporcionar capacidades de rastreo de contactos Bluetooth entre miles de millones de dispositivos iPhone y Android en el mundo.
Las dos compañías prometieron actualizar sus dispositivos para que los expertos en salud pública puedan desarrollar aplicaciones móviles que permitan a los usuarios identificar voluntariamente si han dado positivo por coronavirus. Si un usuario confirmado de la aplicación de coronavirus entra en contacto lo suficientemente cercano con los usuarios de la aplicación no infectados, estos últimos usuarios podrían ser notificados sobre una posible infección, ya sea que posean un iPhone o Android.
Tanto Apple como Google prometieron un enfoque de protección de la privacidad. Los usuarios de la aplicación no podrán rastrear sus ubicaciones, y Apple, Google y los gobiernos no podrán acceder a sus identidades. Además, los dispositivos cambiarán automáticamente los identificadores de los usuarios cada 15 minutos, un paso para evitar la identificación de los propietarios de los dispositivos. Los datos que se procesan en dispositivos nunca abandonarán un dispositivo a menos que un usuario decida compartirlo.
En términos de protección de la privacidad, el enfoque de Apple y Google es una de las mejores opciones hoy en día.
Según Bloomberg , la firma israelí NSO Group lanzó una variedad de gobiernos en todo el mundo sobre una nueva herramienta que supuestamente puede rastrear la propagación del coronavirus. A mediados de marzo, alrededor de una docena de gobiernos comenzaron a probar la tecnología.
Una investigación de seguimiento realizada por VICE reveló cómo funciona la nueva herramienta, con nombre en código «Fleming» :
“Fleming muestra los datos de lo que parece una interfaz de usuario intuitiva que permite a los analistas rastrear a dónde van las personas, a quién se encuentran, por cuánto tiempo y dónde. Todos estos datos se muestran en mapas de calor que se pueden filtrar según lo que el analista quiera saber. Por ejemplo, los analistas pueden filtrar los movimientos de un determinado paciente por su última ubicación o si visitaron algún lugar de reunión como plazas públicas o edificios de oficinas. Con el objetivo de proteger la privacidad de las personas, la herramienta rastrea a los ciudadanos asignándoles identificaciones aleatorias, que el gobierno, cuando sea necesario, puede anonimizar [.] «
Estos son poderes peligrosos e invasivos que cualquier gobierno puede usar contra sus ciudadanos. Las preocupaciones de privacidad solo crecen cuando se mira la historia reciente de NSO Group. En 2018, la compañía fue demandada por acusaciones de que utilizó su poderosa tecnología de software espía para ayudar al gobierno de Arabia Saudita a espiar y planear el asesinato del ex escritor del Washington Post y disidente saudí Jamal Khashoggi. El año pasado, NSO Group fue golpeado con una importante demanda de Facebook, alegando que la compañía envió malware a más de 1,400 usuarios de WhatsApp , que incluyeron periodistas, activistas de derechos humanos y funcionarios del gobierno.
Las cuestionables asociaciones público-privadas no terminan ahí.
Según The Wall Street Journal , la startup de reconocimiento facial Clearview AI, que afirma tener la mayor base de datos de imágenes digitales públicas, está trabajando con agencias estatales de EE. UU. Para rastrear a aquellos que dieron positivo por coronavirus.
La startup con sede en Nueva York se ha jactado repetidamente de su tecnología, diciendo anteriormente que ayudó al Departamento de Policía de Nueva York a identificar rápidamente a un sospechoso de terrorismo. Pero cuando Buzzfeed News le preguntó al departamento de policía sobre ese reclamo, negó que Clearview participara en el caso .
Además, según una investigación del Huffington Post , la historia de Clearview involucra la coordinación con extremistas de extrema derecha, uno de los cuales marchó en la manifestación «Unite the Right» en Charlottesville, otro que promovió teorías de conspiración desacreditadas en línea, y otro que es un neoconocido declarado. Nazi. Uno de los primeros asesores de la startup vio una vez su tecnología de reconocimiento facial como una forma de «identificar a todos los extranjeros ilegales en el país».
Aunque Clearview le dijo a The Huffington Post que se separó de estos extremistas, su fundador Hoan Ton-That parece no estar equipado para lidiar con las preguntas de privacidad más amplias que invita su tecnología. Cuando fue entrevistado a principios de este año por The New York Times, Ton-That se vio con los pies abiertos ante preguntas obvias sobre la capacidad de espiar a casi cualquier persona con presencia en línea. Como el periodista Kashmir Hill escribió:
“Incluso si Clearview no hace que su aplicación esté disponible públicamente, una compañía imitadora podría hacerlo, ahora que el tabú está roto. Buscar a alguien por la cara podría ser tan fácil como buscar un nombre en Google. Los extraños podrían escuchar conversaciones delicadas, tomar fotos de los participantes y conocer secretos personales. Alguien caminando por la calle sería inmediatamente identificable, y la dirección de su casa estaría a solo unos clics de distancia. Anunciaría el fin del anonimato público.
Cuando se le preguntó sobre las implicaciones de traer tal poder al mundo, Ton-That pareció desconcertado.
«Tengo que pensar en eso», dijo. «Creemos que este es el mejor uso de la tecnología».
Las creencias de una compañía acerca de cómo «utilizar» mejor la tecnología invasiva es una barra demasiado baja para que podamos construir un mecanismo de vigilancia.
¿Deberíamos desplegar vigilancia masiva?
En medio de la actual crisis de salud, varias organizaciones de derechos digitales y privacidad han intentado responder a la pregunta de si los gobiernos deberían desplegar vigilancia masiva para combatir el coronavirus. Lo que ha surgido, en lugar de las aprobaciones u objeciones al por mayor a los programas de vigilancia individuales en todo el mundo, es un marco para evaluar los programas entrantes.
Según Privacy International y más de 100 grupos similares , la vigilancia del gobierno para combatir el coronavirus debe ser necesaria y proporcionada, solo debe continuar durante el tiempo de la pandemia, solo debe usarse para responder a la pandemia, debe tener en cuenta la posible discriminación causada por artificial tecnologías de inteligencia, y debe permitir a las personas desafiar cualquier recopilación, agregación, retención y uso de datos, entre otras restricciones.
Electronic Frontier Foundation, que no firmó la carta de Privacy International, publicó una lista algo similar de restricciones de vigilancia y redujo aún más su evaluación a una simple rúbrica de tres preguntas :
- Primero, ¿ha demostrado el gobierno que su vigilancia sería efectiva para resolver el problema?
- En segundo lugar, si el gobierno muestra eficacia, preguntamos: ¿La vigilancia haría demasiado daño a nuestras libertades?
- Tercero, si el gobierno muestra eficacia y el daño a nuestras libertades no es excesivo, preguntamos: ¿Hay suficientes barandas alrededor de la vigilancia? (Que la organización detalla aquí .)
No reclamamos una visión más aguda que nuestros pares de privacidad digital. De hecho, gran parte de nuestra investigación se basa en la suya. Pero al centrarnos en los tipos de vigilancia instalados actualmente y en la vigilancia anterior instalada hace años, erramos con cautela contra cualquier régimen de vigilancia masiva desarrollado específicamente para rastrear y limitar la propagación del coronavirus.
De plano, el despliegue rápido de vigilancia masiva para proteger al público rara vez, si es que alguna vez, ha funcionado según lo previsto. La vigilancia masiva no ha «resuelto» una crisis, y en los Estados Unidos, un régimen de vigilancia de emergencia se convirtió en un buque de guerra hinchado, ineficaz y no conforme, aparentemente sin timón hoy.
No debemos tomar estos mismos riesgos nuevamente.
Las lecciones de la Sección 215
El 4 de octubre de 2001, menos de un mes después de que Estados Unidos sufriera el peor ataque en suelo estadounidense cuando los terroristas derribaron las torres del World Trade Center el 11 de septiembre, el presidente George W. Bush autorizó a la Agencia de Seguridad Nacional a recopilar ciertos contenidos y metadatos del teléfono sin primero obteniendo warrants.
Según el borrador del informe de trabajo del Inspector General de la NSA , la autorización del presidente Bush se tituló «Autorización para actividades específicas de vigilancia electrónica durante un período limitado para detectar y prevenir actos de terrorismo dentro de los Estados Unidos».
En 2006, los poderes descritos de «período limitado» continuaron, ya que el Fiscal General Alberto González argumentó ante un tribunal secreto que el tribunal debería legalizar retroactivamente lo que la NSA había estado haciendo durante cinco años: recopilar los metadatos de llamadas telefónicas de casi todos los estadounidenses, potencialmente reveladores los números que llamamos, la frecuencia con que los marcamos y por cuánto tiempo hablamos. El tribunal luego aprobó la solicitud.
Los argumentos del Fiscal General citaron parcialmente una ley separada aprobada por el Congreso en 2001 que introdujo una nueva autoridad de vigilancia para la NSA titulada Sección 215, que permite la recopilación de «registros de detalles de llamadas», que son registros de llamadas telefónicas, pero no llamadas telefónicas. contenido. Aunque la Sección 215 recibió reformas significativas en 2015, aún persiste. Solo recientemente el público se enteró de las fallas de cobranza bajo su autoridad.
En 2018, la NSA borró cientos de millones de registros detallados de llamadas y textos recopilados en la Sección 215 porque la NSA no pudo conciliar su recopilación con los requisitos reales de la ley . En febrero, el público también se enteró de que, a pesar de recopilar innumerables registros a lo largo de cuatro años, solo la NSA descubrió información que el FBI aún no tenía . De esas dos ocasiones, solo una vez la información condujo a una investigación.
Para complicar el asunto es el hecho de que la NSA cerró el programa de registro de detalles de llamadas en el verano de 2019, pero la autoridad legal del programa permanece en el limbo, ya que el Senado aprobó una extensión de 77 días a mediados de marzo , pero la Cámara de Representantes No está previsto que regrese al Congreso hasta principios de mayo.
Si esto suena frustrante, lo es, y los senadores y representantes de ambas partes han cuestionado cada vez más estos poderes de vigilancia.
Recuerde, así de difícil es desmontar una máquina de vigilancia con fallas comprobadas. Dudamos que sea más fácil desmantelar cualquier régimen que instale el gobierno para combatir el coronavirus.
Aparte de nuestra historia reciente de vigilancia demasiado extendida, está la cuestión de si la recopilación de datos realmente funciona para rastrear y limitar el coronavirus.
Hasta ahora, los resultados varían de poco claros a mixtos.
Los problemas de localización y seguimiento de proximidad.
En 2014, funcionarios gubernamentales, tecnólogos y grupos humanitarios instalaron grandes regímenes de recopilación de datos para rastrear y limitar la propagación del brote de ébola en África occidental.
La Escuela de Salud Pública de Harvard utilizó los «pings» de los teléfonos celulares para trazar estimaciones aproximadas de las ubicaciones de las personas que llaman en función de las torres celulares a las que se conectaban al hacer llamadas. Los Centros para el Control y la Prevención de Enfermedades de EE. UU. Analizaron de manera similar las torres celulares que recibieron un gran número de llamadas telefónicas de emergencia para determinar si se estaba produciendo un brote casi en tiempo real.
Pero según Sean McDonald, del Centro Berkman Klein para Internet y Sociedad de la Universidad de Harvard, existe poca evidencia que muestre si el rastreo de ubicación ayuda a prevenir la propagación de enfermedades.
En un prólogo de su artículo de 2016 » Ébola: un gran desastre de datos «, McDonald analizó la respuesta de Corea del Sur en 2014 al Síndrome Respiratorio del Medio Oriente (MERS), un coronavirus separado. Para limitar la propagación, el gobierno de Corea del Sur obtuvo información de individuos de los proveedores de telefonía móvil del país e implementó una cuarentena en más de 17,000 personas en función de su ubicación y las probabilidades de infección.
Pero el gobierno de Corea del Sur nunca habló sobre cómo usaba los datos de los ciudadanos, escribió McDonald.
«Lo que no sabemos es si esa captura de información resultó en un bien público», escribió McDonald. «Todo lo contrario, hay evidencia limitada que sugiere que la información de migración o ubicación es un predictor útil de la propagación de MERS».
Además, los esfuerzos recientes para proporcionar el rastreo de contactos a través de la conectividad Bluetooth, que no es lo mismo que el rastreo de ubicación, no se han probado en una escala lo suficientemente grande como para demostrar su eficacia.
Según un informe de The Economist de mediados de marzo, solo el 13 por ciento de la población de Singapur había instalado la aplicación de rastreo de contactos del país, TraceTogether. El número bajo se ve peor cuando se mide el éxito en la lucha contra el coronavirus.
Según The Verge, si los estadounidenses instalaran una aplicación de rastreo de contactos Bluetooth a la misma velocidad que los singapurenses, la probabilidad de recibir una notificación porque un encuentro casual con otro usuario de la aplicación sería solo del 1.44 por ciento .
Peor aún, según el Dr. Farzad Mostashari, ex coordinador nacional de tecnología de información de salud del Departamento de Salud y Servicios Humanos, el rastreo de contactos por Bluetooth podría crear muchos falsos positivos. Como le dijo a The Verge:
“Si estoy a la intemperie, mi Bluetooth y tu Bluetooth pueden hacer ping entre sí, incluso si estás a más de seis pies de distancia. Podrías atravesarme la pared en un apartamento, y podría hacer ping que estamos teniendo un evento de proximidad. Podrías estar en un piso diferente del edificio y podría hacer ping ”.
Esto no significa que el rastreo de contactos Bluetooth sea una mala idea, pero no es la bala de plata que algunos imaginan. Hasta que sepamos si el seguimiento de ubicación funciona, podríamos suponer lo mismo.
Mantenerse a salvo
Hoy es agotador y, lamentablemente, mañana también lo será. No tenemos las respuestas para que las cosas vuelvan a la normalidad. No sabemos si esas respuestas existen.
Lo que sí sabemos es que, comprensiblemente, ahora es un momento de miedo. Eso es normal. Eso es humano.
Pero debemos evitar dejar que el miedo dicte decisiones con un significado como este. En el pasado, la vigilancia masiva se volvió difícil de manejar, duró más de lo planeado y resultó ineficaz. Hoy en día, está siendo impulsado por actores privados oportunistas en los que no debemos confiar como los únicos guardianes de los poderes ampliados del gobierno.
No tenemos pruebas de que la vigilancia masiva por sí sola resuelva esta crisis. Solo el miedo nos permite creer que lo hará.